Понятие и этапы анализа рисков

Управление рисками на предприятии: методический и организационный аспекты

В эпоху экономического и финансового кризиса управление рисками является наиболее актуальной проблемой, встающей перед российскими промышленными компаниями. Процессы глобализации становятся еще одним источником экономических рисков, поэтому использование основ риск-менеджмента в управлении будет способствовать достижению целей и задач химических компаний, хотя и, безусловно, не сведет степень вероятности появления различного рода рисков до нулевой отметки.

Внедрение системы риск-менеджмента на предприятиях дает возможность:

  • выявить возможные рисков на всех этапах деятельности;
  • спрогнозировать, сопоставить и проанализировать возникающие риски;
  • разработать необходимую стратегию управления и комплекс принятие решений по минимизации и устранению рисков;
  • создать условия, необходимые для реализации разработанных мероприятий;
  • проводить мониторинг работы системы управления рисковыми ситуациями;
  • анализировать и контролировать полученные результаты.

К особенностям риск-менеджмента можно отнести: необходимость наличия у руководства компаниями опережающего мышления, интуиции и предвидения ситуации; возможность формализации системы управления рисками; способность быстрого реагирования и выявления путей совершенствования функционирования организации, сокращения степени вероятности нежелательного хода событий.

Комплексная система управления рисками ERM (Enterprise Risk Management) во многих зарубежных компаниях, например, в США, используется уже довольно широко, поскольку хозяева крупных мировых компаний уже на практике удостоверились, что старые методы управления не соответствуют современным рыночным условиям и не в состоянии обеспечивать успешное развитие их бизнеса.

Применение риск-менеджмента предполагает четкое распределение ответственности и полномочий между всеми структурными подразделениями. В функции высшего руководства входит назначение ответственных за выполнение необходимых процедур управления рисками на всех уровнях. Такие решения должны соответствовать стратегическим целям и задачам компании и не нарушать условия действующего законодательства. При этом следует правильно распределить среди исполнителей мероприятие по выявлению рисков и функции контроля за создавшейся рисковой ситуацией.

Управление рисками как ключевой инструмент, направленный на повышение эффективности деятельности

Управление рисками является одним из ключевых инструментов, направленных на повышение эффективности программ деятельности руководителей предприятия, которую они могут использовать для снижения стоимости жизненного цикла продукции и смягчить или избежать потенциальных проблем, которые могут помешать успеху деятельности предприятия.

Достижение целей предприятия требует конкретных представлений об основном виде деятельности, технологиях производства, а также изучения основных видов рисков. Предупреждение рисков и снижение потерь от воздействия приводит к устойчивому развитию предприятия. Процесс, при котором деятельность предприятия направляется и координируется с точки зрения эффективности управления риском и представляет собой риск-менеджмент. Управление рисками является процессом выявления потерь, с которыми организация сталкивается в процессе основного вида деятельности и степени их воздействия, и выбора наиболее подходящего метода для управления каждым отдельным видом риска.

В другом представлении, управление рисками представляет собой систематический процесс, при котором риски, оцениваются и анализируются для уменьшения или устранения их последствий, а также для достижения целей.

На основе вышесказанного можно прийти к выводу, что управление рисками для обеспечения жизнеспособности и эффективности деятельности предприятия, является циклическим и непрерывным процессом, который координирует и направляет основные виды деятельности. Это целесообразно осуществлять при помощи выявления, контроля и снижения влияния всех видов рисков, включая мониторинг, контакты и консультации, направленные на удовлетворение потребностей населения, без ущерба для возможности будущих поколений удовлетворять свои собственные потребности. Оценка риска приводит к стабильности деятельности предприятия, способствующей его устойчивому развитию. Управление рисками — вклад в устойчивое развитие, является существенным фактором в поддержание и повышение стабильной деятельности предприятия. Активный риск-менеджмент имеет решающее значение для процесса управления, в направлении подтверждения, что риски обрабатываются на соответствующем уровне.

Планирование и осуществление управления рисками включает в себя следующие этапы:

  • управление рисками;
  • определение рисков и степени их влияния на бизнес-процессы;
  • применение качественного и количественного анализа рисков;
  • разработка и исполнение планов реагирования на риски и их реализацию;
  • осуществление мониторинга рисков и процессов управления;
  • взаимосвязь между управлением рисками и результатами деятельности;
  • оценка общего процесса управления рисками.

Методология (программа) по непрерывному управлению рисками

В целях содействия деятельности по управлению рисками предприятию необходимо разработать методологию (программу) по непрерывному управлению рисками (МНУР). МНУР является теоретически значимой программой, направленной на разработку механизмов управления проектами с передовой практикой процессов, методов и инструментов управления рисками предприятия. Она обеспечивает условия для активного принятия решений, постоянной оценки рисков, определения степени значимости и уровня влияния рисков на управленческие решения, и осуществление стратегии для борьбы с ними. Кроме того, может быть также достигнут прогресс в масштабах проекта, бюджета предприятия, сроках его реализации и т.д. Рисунок 1 наглядно иллюстрирует методологию непрерывного процесса управления рисками.

Рис. 1. Непрерывный процесс управления рисками. Составлено автором на основании литературных источников

Процесс управления показателями выступает в качестве вспомогательного инструмента получения информации, необходимой для разрабатываемого механизма риск-менеджмента. Неблагоприятные тенденции должны быть проанализированы и дана оценка их влияния на данный механизм. Соответствующие действия механизма управления должны быть приняты для тех областей деятельности, которые определены как базовые в бизнес-процессах предприятия. Корректирующие действия могут включать в себя перераспределение ресурсов (средств, персонала и изменение графика производства) или активацию запланированной стратегии смягчения последствий влияния рисков. Тяжелые случаи, неблагоприятные тенденции и основные показатели могут также учитываются при использовании данного механизма.

Важно, что данный механизм подчеркивает необходимость переоценки выявленных рисков, систематически влияющих на деятельность предприятия. Поскольку система проходит через жизненный цикл разработки, в данном случае большая часть информации станет доступной для оценки степени риска. Если величина риска изменяется значительно, подходы к его обработке должны быть скорректированы.

В целом, такой прогрессивный подход к управлению рисками имеет решающее значение для всестороннего процесса управления и гарантирует, что показатели риска обрабатываются эффективно и на соответствующем уровне.

Разработка программы управления рисками на предприятии

Рассмотрим политику управления рисками, которую следует применять на предприятии. Разрабатываемый механизм (программа) должен быть направлен на эффективное и непрерывное управление рисками. Таким образом, ранняя, точная и непрерывные идентификация и оценка рисков поощряется, а создание информационно прозрачной отчетности по рискам, планирование мер по уменьшению и предотвращению изменению внешних и внутренних условий будет оказывать при этом положительное влияние на программу.

Данный механизм, включая взаимоотношения с контрагентами и подрядчиками, должен выполнять функции по идентификации рисков и их мониторингу. Для его реализации необходимо наличие некоего плана в виде набора руководящих документов, разработанных для конкретных областей деятельности. Этот план устанавливает руководящие принципы для реализации МНУР в определенном временном интервале. Он не влияет на осуществление других видов деятельности всего предприятия, но скорее может обеспечить руководству лидерство в области управления рисками.

Процесс управления рисками должен отвечать ряду требований: он должен быть гибким, инициативным, а также должен работать в направлении обеспечения условий для эффективного принятия решений. Управление рисками будет влиять на риски путем:

  • поощрения выявления рисков;
  • декриминализации;
  • определения активных рисков (постоянная оценка того, что может пойти не так);
  • выявления возможностей (постоянно оценивая вероятность благоприятных или своевременных случаев);
  • оценки вероятности возникновения и тяжести воздействия каждого идентифицированного риска;
  • определения соответствующих направлений действий для снижения возможного значительного влияния рисков на предприятие;
  • разработки планов действий или шагов для нейтрализации влияния любого риска, который требует смягчения;
  • ведения непрерывного наблюдения за возникновением рисков с незначительной степенью влияния в настоящее время, которое может со временем измениться;
  • производства и распространения достоверной и своевременной информации;
  • содействия взаимосвязи между всеми заинтересованными сторонами программы.

Процесс управления рисками будет осуществляться на гибкой основе, учитывая обстоятельства возникновения каждого риска. Основная стратегия управления рисками призвана определить важнейшие области рисковых событий, как технических, так и нетехнических, и заранее принять необходимые меры, чтобы справиться с ними, прежде чем они окажут значительное влияние на предприятие, вызывая серьезные затраты, снижая качество продукции или производительность.

Рассмотрим более детально функциональные элементы, которые являются составляющими процесса управления рисками: идентификация (выявление), анализ, планирование и реагирование, а также мониторинг и управление. Каждый функциональный элемент рассмотрим ниже.

  1. Идентификация
  • Обзор данных (т.е. освоенный объем, анализ критического пути, составление комплексного графика, анализ Монте-Карло, бюджетирование, дефектный анализ и анализ тенденций и т.д.);
  • Рассмотрение представленных форм идентификации рисков;
  • Проведение и оценка риска с использованием мозгового штурма, индивидуальной или групповой экспертной оценки
  • Проведение независимой оценки выявленных рисков
  • Введите риска в реестр рисков
  1. Идентификация риска / анализ инструментов и методов, которые будут использованы, включают в себя:
  • Методы интервью для определения риска
  • Анализ дерева отказов
  • Исторические данные
  • Извлеченные уроки
  • Учет риска – контрольный список
  • Индивидуальное или групповое суждение экспертов
  • Подробный анализ структуры декомпозиции работ, изучение ресурсов и составление графика
  1. Анализ
  • Проведение оценки вероятности – каждому риску будет присвоен высокий, средний или низкий уровень вероятности возникновения
  • Создание категорий риска – выявленные риски должны быть связаны с одним или несколькими из следующих категорий риска (например, затраты, сроки, технические, программные, процессные, и т.д.)
  • Оценить влияние рисков – оценить влияние каждого риска в зависимости от выявленных категории риска
  • Определение тяжести риска – назначить вероятности и воздействия на рейтинг в каждой из категорий риска
  • Определить сроки, когда рисковое событие, вероятно, произойдет
  1. Планирование и реагирование
  • Приоритетов рисков
  • Анализ рисков
  • Назначить ответственное лицо за возникновение риска
  • Определить соответствующую стратегию управления рисками
  • Разработать соответствующий план реагирования на риски
  • Составить обзор приоритетов и определить его уровень в отчетности
  1. Наблюдение и управление
  • Определить форматы отчетности
  • Определить форму обзора и частоту возникновения для всех классов рисков
  • Отчет о рисках на основе триггеров и категорий
  • Проведение оценки риска
  • Представление ежемесячных докладов по рискам

Для эффективного риск-менеджмента на предприятии считаем целесообразным создание отдела управления рисками. Основные обязанности данной структурной единицы, в том числе для персонала и других пользователей (включая сотрудников, консультантов и подрядчиков), в целях успешной реализации стратегии управления рисками и процессов приведены в табл. 1.

Таблица 1 — Отдел управления рисками роли и обязанности

Роли Возложенные обязанности
Директор программы (ДП) • надзор за рисками деятельности управления.• мониторинг рисков и планов реагирования на риски.

• утверждение решения о финансировании планов реагирования на риски.

• мониторинг управленческих решений.

• рекомендации по осуществлению контроля решений.

• своевременное реагирование на риск финансирования.

• администрирование и поддержание приверженности заинтересованных сторон, процесс управления риском

• обеспечение регулярной координации и обмена информацией по риску между всеми заинтересованными сторонами,

• управление рисками, находящихся в зарегистрированном реестре рисков (базе данных).

• рекомендации (учебный план) управления рисками.

• развитие знаний персонала и подрядчиков в области деятельности по управлению рисками.

• подготовка повестки дня заседания, пакеты оценки риска, а также протоколы заседаний.

• получение и отслеживание статуса предложенных видов риска.

• выполнение первоначальной оценки предлагаемых видов риска для определения наиболее важного.

• эксперт предметной области анализа риска по просьбе председателя СД.

• содействие проведению анализа членами Совета Директоров, которые будут принимать решение о том, необходимо ли снижение рисков.

• регулярная координация и коммуникация риска обмена информацией со всеми заинтересованными сторонами,

• отслеживание интеграции усилий ответственных лиц по управлению рисками в своих зонах ответственности.

• выбор и утверждение стратегии реагирования на риски. Это включает в себя утверждение ресурсов (например, риск владельца) для дальнейшего анализа рисков и / или составление более детального плана реагирования на риски в случае необходимости. Утверждение всех задач.

• назначение ресурсов для ответных мер по управлению риском, содержащихся в детальном плане.

• выявление возможных рисков по данным с использованием стандартной формы идентификации при необходимости

• составление и выполнение плана реагирования на риски

• определение времени и всех расходов, связанных с реализацией плана реагирования на риски

• рекомендация стратегии реагирования на риски

• участие в разработке планов реагирования

• отчет о статусе рисков и эффективность планов реагирования на риски

• работа по определению средств реагирования на риски путем любого дополнительного или остаточного риска.

• доклад о ходе и результатах реагирования на риски.

Составлено автором по материалам исследования

Функции управления рисками заключаются в организации взаимодействия с существующими подразделениями организационной структуры. ИПЦ формируются для функциональных областей, которые имеют решающее значение для успешной реализации поставленных задач. Все функциональные отделы или бизнес-процессы, не охваченные КБ, оцениваются и рассматриваются ДП, ПМ, и служащим для обеспечения адекватного поведения в отношении появления риска. Идентификация рисков представляет собой процесс определения того, какие события могут повлиять на деятельность предприятия, и документирования их характеристик[5]. Важно отметить, что идентификация риска является повторяющимся процессом. Первая итерация является предварительной оценкой и проверкой по рискам команды, по мере необходимости, с идентификатором риска. Вторая итерация включает в себя презентацию, просмотр и обсуждение. Процесс управления рисками включает три отдельных этапа по характеристике рисков: выявление, оценка и корректировка, и подтверждение.

Графическое изображение процесса идентификации рисков представлено на рис. 2.

Рис. 2. Структурная схема алгоритма идентификации риска. Разработано автором

В результате его внедрения может быть разработан комплекс мероприятий, позволяющих оценить операционные риски предприятия, интегральный риск, количественная оценка которого основана на комплексном анализе финансовой и бухгалтерской отчётности, и проведение оценки интегрального риска на основе всех уровней ответственности предприятия.

Заключение

Управление рисками на химических предприятиях необходимо осуществлять в рамках системного и процессного подходов, с учетом специфики отрасли с использованием современных эффективных методов управления и организаций производства, а также с использованием инструментов риск-менеджмента. Система риск-менеджмента деятельности химического предприятия должна обязательно учитывать требования безопасности, установленными государственными органами власти, и обеспечивать безопасность и сохранение здоровья персонала, связанного с опасным технологическим объектом. В целях эффективного риск-менеджмента предприятия необходима система управления интегральным риском, которая заключается в комплексном подходе к оценке максимального числа факторов риска деятельности предприятия, осуществляемой в условиях динамичной экономической среды. Автор считает, что разработка вышеописанного комплекса мероприятий будет сопутствовать повышению уровня управления и оценки рисков в промышленных организациях.

Источник

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник



Понятие и этапы анализа рисков

7 МИН

Как оценить риски предприятия

Ошибки в расчётах и планировании, изменения ситуации на рынке и в законодательстве создают риски для бизнеса. Объясняем, как их оценить и предотвратить.

Виды деловых рисков

Обычно под «деловым риском» подразумевают одно или несколько событий, негативно воздействующих на деятельность предприятия или её аспекты.

С точки зрения предсказуемости риски делят на систематические и несистематические. Несистематические риски возникают в отдельно взятой компании, их можно спрогнозировать и оценить своими силами. Систематические риски угрожают рынку в целом или отдельным сферам бизнеса. Предсказать их возникновение и оценить последствия могут только эксперты.

Виды систематических рисков:

  • Политические — изменение политической ситуации в стране и мире.
  • Природные риски. К ним относятся экологические катастрофы или стихийные бедствия.
  • Юридические — сюда входит как несовершенство существующих законов, так и риск появления новых, способных создать дополнительные проблемы для бизнеса.
  • Экономические — изменения в налоговой системе, санкции против государства, потери из-за нестабильности курсов валют и т. п.

Пример юридического риска

Из-за поправок в Жилищном кодексе с 1 октября 2019 года хостелы и гостиницы могут располагаться только в нежилых зданиях или в помещениях многоквартирных домов, имеющих статус нежилого фонда и соответствующих ряду дополнительных требований. Теперь предприниматели, хостел или гостиница которых находятся в жилом доме, должны перевести помещение в статус нежилого фонда, переехать в другое или закрыть бизнес.

Виды несистематических рисков

1

Производственные

Могут быть связаны не только с производственными процессами, но и с управленческими, с невыполнением плана продаж или с сокращением объёмов производства.

2

Финансовые

Возникают из-за недополучения прибыли от проекта, неликвидности продукции и т. п.

3

Рыночные

Появляются из-за нестабильности ситуации на рынке, ценовой политики организации и появления новых конкурентов в нише.

Последствия несистематических рисков реально минимизировать грамотным менеджментом.

Пример производственного риска

Вы открываете завод по производству шлакоблоков. Можно выбрать:

а) уже готовое помещение и заказать для производственной линии оборудование у производителя с монтажом и настройкой;

б) место для строительства завода с нуля, заказать разное оборудование у нескольких поставщиков и установить его собственными силами.

В случае «б» несистематические риски намного выше: вы можете обсчитаться и нарушить нормы при строительстве, а оборудование — сломаться или потерять эффективность из-за неправильной установки, а то и вовсе оказаться несовместимым.

Методы оценки рисков

Способы оценки рисков на предприятии делят на количественные и качественные.

Использование количественных методик потребует специальных программ или помощи аналитиков. К ним относятся методы проверки устойчивости и метод имитационного моделирования, он же метод Монте-Карло. А для расчётов применяются статистические приложения, например SAS, — с модулями постобработки BASE, STAT и их аналогами.

Качественная оценка рисков

Качественными методами оценить риски можно и самостоятельно. В основе этой группы — сбор предполагаемых рисков компании, их описание и оценка без использования сложных формул и программ.

Метод экспертных оценок

К оценке и анализу рисков на предприятии привлекают независимого эксперта. Он изучает составленный руководителем или собственником список рисков или предлагает свой.

Метод рейтинговых оценок

Основан на самостоятельном или экспертном ранжировании уже имеющегося списка рисков по вероятности их возникновения или опасности последствий. Результат метода — заполненная таблица с рейтингом рисков.

Контрольные списки источников рисков

Метод базируется на разборе рисков, с которыми столкнулись в предыдущих проектах. Произошедшие инциденты, факторы рисков и убытки анализируются и вносятся в общую таблицу. Если заполнять такую таблицу по итогам каждого реализованного проекта, по ней можно будет проверять возможные риски будущих.

Метод аналогий

Разновидность контроля списков источников риска. Отличается тем, что предыдущий опыт не только исследуют, но выявляют с его помощью закономерности между процессами в разных проектах.

Главное

1

Есть систематические и несистематические риски. Первые касаются отрасли или рынка в целом, их нельзя предотвратить силами компании. Несистематические риски можно самостоятельно оценить и минимизировать.

1

Чтобы систематические риски не застали врасплох, следите за новостями своей отрасли, за политической и экономической ситуацией в стране. Или читайте отчёты и прогнозы экспертов, которым доверяете.

1

Не забывайте, что законодательство тоже может меняться. О важных нововведениях пишут все деловые издания.

1

Учитывайте несистематические риски: производственные, финансовые и рыночные. Проверяйте поставщиков и других контрагентов через госреестры. При закупках оценивайте фактическое качество товара, при производстве собственной продукции учитывайте отзывы потребителей и успехи конкурентов.

1

Для оценки рисков используйте количественные и качественные методы. С количественными, например методом Монте-Карло, помогут программы и специалисты-аналитики.

Источник

Управление рисками. Часть 3. Качественный анализ рисков

Следующие два этапа процесса управления рисками — это качественный и количественный анализ рисков. Задача качественного и количественного анализа состоит в том, чтобы определить какие идентифицированные на предыдущей стадии риски потребуют специфических действий. Каждый ли риск в имеющемся списке потребует специфических мер или же есть риски с низкой вероятностью или риски с низкой степенью воздействия на проект, работу над которыми можно опустить?

Задачи этапа 4 — качественного анализа рисков — состоят в том, чтобы субъективно оценить вероятность воздействия каждого риска, создать более короткий список рисков, определить критические риски, которые уже будут пропущены через количественный анализ и для которых будут планироваться ответные действия. Кроме того, на стадии качественного анализа принимается решение о судьбе проекта: продолжать проект или закрывать.

В целом этап качественного анализа рисков разбивается на восемь шагов.

Шаг 1. Выбор владельца риска

Так называемые владельцы рисков (risk owners) — это сотрудники, которым руководитель проекта поручает наблюдать за триггерами некоторого определенного риска, а также управлять ответными процедурами в случае возникновения данного риска. Сотрудники становятся владельцами рисков в силу специфических экспертных знаний относительно той или иной проблемы или в связи с тем, что они обладают определенным контролем над специфическим риском. Прежде всего надо решить, будут ли владельцы рисков использованы с самого начала процесса качественного анализа рисков или позже, в процессе работы над рисками. Обычно чем раньше в процесс управления рисками вводится владелец риска, тем лучше.

Шаг 2. Анализ всех допущений и определение погрешности данных

Следующий шаг — анализ допущений (assumption testing), которые были сделаны в процессе идентификации рисков. Это надо сделать, прежде чем непосредственно переходить к качественному и количественному анализу рисков. Слишком много неизвестных делают данные еще более рискованными. Если допущения оказываются ложными, степень риска проекта существенно увеличивается. Поэтому PMBOK считает необходимым проанализировать стабильность каждого сделанного в проекте допущения, а также последствий, если допущение окажется ложным. Анализ допущений осуществляется, как правило, в формате, показанном в таблице 1.

Таблица 1. Анализ допущений при идентификации рисков

Допущение Стабильность допущения (1—10) Последствия, если допущение ложно (1—10)
Работа над проектом не будет мешать ежедневной работе сотрудника А 2 8
Примечание:
Стабильность допущения в рамках от 5 до10 означает, что допущение более-менее верно.
Последствия допущения в рамках от 5 до10 означает, что влияние на проект может быть существенным

После анализа допущений необходимо провести определение погрешности данных. Данная процедура показывает, достаточно ли хорошо понятны определенные риски, достаточно ли данных, необходимых для определения последствия рисков, доступно, а также насколько эти данные надежны. Кто именно будет проводить процедуру, зависит от понимания проекта и профессионального опыта. Возможно, руководитель проекта посчитает нужным пройти этот шаг самостоятельно. Важно учесть: чем выше приоритет проекта, тем точнее должен быть проведен анализ погрешности данных. Результаты определения погрешности данных должны быть собраны в таблицу 2. Возможно, на этом шаге понадобится дополнительный раунд интервью, однако необходимо провести всю эту работу, прежде чем можно будет начать полноценный качественный анализ.

Таблица 2. Результаты определения погрешности данных

Риск Степень понимания риска Количество данных, Надежность данных
Система Х инсталлируется с опозданием, приводя к двухнедельному срыву сроков внедрения системы Y 9 7 2
ПО Z не будет полноценно интегрировано с ПО W через встроенные инструменты, что приведет к необходимости дополнительного программирования 2 2 9

Шаг 3. Выбор шкал степени воздействия и оценка вероятности возникновения риска

После завершения работы с погрешностью данных необходимо определить степень воздействия на проект каждого риска. Для этого необходимо понять, какие шкалы степени воздействия рисков будут использованы и какие методы качественного анализа могут применяться. Шкалы представляют собой определенные наборы степеней воздействия рисков на проект в целом. На данном шаге шкала воздействия определяется субъективно. Если в организации шкалы степени воздействия тех или иных рисков не были стандартизированы, можно принять одну из предлагаемых в таблице 3. Можно построить и свои шкалы.

Таблица 3. Шкалы степени воздействия рисков

Шкала Степени воздействия на проект
1 Очень низкая Низкая Средняя Высокая Очень высокая
2 0,05 0,1 0,2 0,4 0,8
3 0,1 0,3 0,5 0,7 0,9
4 1 2 3 4 5 6 7 8 9 10
Примечание:
Степени воздействия, измеряемые в пределах от 1 до 10, интерпретируются в стандартном случае следующим образом.
10 — проект провален;
9 — превышение бюджета на 40% или срыв сроков на 40%;
8 — превышение бюджета на 30% или срыв сроков на 30%;
7 — превышение бюджета на 20% или срыв сроков на 20%;
6 — превышение бюджета на 10% или срыв сроков на 10%;
5 — слегка превышен бюджет проекта;
4 — существенное использование резервного времени или фонда резервных затрат проекта, но в пределах бюджета;
3 — среднее использование резервного времени или фонда резервных затрат проекта;
2 — незначительное использование резервного времени или фонда резервных затрат проекта;
1 — никакого реального воздействия на проект.

Многие компании ошибочно используют трехуровневые шкалы воздействия рисков типа «высокая-средняя-низкая». Проблема состоит в том, что такой подход сделает распределение рисков при их сортировке на стадии качественного анализа слишком плотным. Придется еще долго разбираться со всеми рисками, которые попадут в графу «высокая вероятность — сильное воздействие». Будет сложно понять, какие риски окажутся приоритетными.

Кроме степени влияния, необходимо определить вероятность возникновения риска. На этом шаге вероятность также определяется субъективно. Необходимо помнить тот факт, что риск не может быть вероятен на 100% или даже на 80%. Такая вероятность выводит проблему из разряда рисков и переводит в разряд фактов, а потому должна быть учтена в плане проекта.

Шаг 4. Сортировка рисков

Далее риски необходимо отсортировать. Разберем реальную технику сортировки большого количества рисков, которая зарекомендовала себя на примере не одной сотни компаний. Она активно используется и пропагандируется подразделением Risk Management Special Interest Group (RMSIG) из Project Management Institute.

Суть метода состоит в том, чтобы распределить риски по специальной карте (другое ее название — PI-матрица). Карта должны выглядеть так, как показано в таблице 4. Обычно все идентифицированные риски распределяются между сотрудниками группы по работе с рисками. За риск, как правило, отвечает тот, кто идентифицировал данный риск (источник указан на RMC-карте). Риски, определенные теми, кто не присутствует при данной процедуре, делятся поровну между всеми остальными участниками. Затем участники распределяют имеющиеся у них риски по определенным квадратам, то есть ранжируют вероятности и степени влияния данных рисков.

Таблица 4. Карта сортировки рисков

Вероятность 10
9
8
7
6
5
4
3
2
1 1 2 3 4 5 6 7 8 9 10
Степень воздействия

Некоторые специалисты из RMSIG рекомендуют проводить эту процедуру в реальности, то есть физически начертить карту размером 2х2 метра, раздать участникам RMC-карты созданные ранее и разложить их по квадратам. Бывает необходимо повысить качество индивидуальных решений о вероятности и степени влияния рисков — такие решения могут быть недостаточно аккуратны. Рекомендуется раздать членам команды фломастеры разных цветов и предложить, просмотрев все риски, промаркировать те, с которыми они не согласны и которые, по их мнению, необходимо обсудить отдельно. После этого маркированные риски обсуждаются, и делаются соответствующие изменения.

По окончании данного шага вероятность и степень воздействия каждого риска на проект считается установленной, и в RMC-карты вносятся вероятность данного риска и степень влияния.

Шаг 5. Ранжирование и выбор значимых рисков

Кроме процедуры сортировки рисков необходимо проранжировать риски — определить RR (risk ranking) для каждого риска. Формула для определения RR такова:

RR = Вероятность риска х Степень воздействия риска

Отчасти этот шаг повторяет сортировку рисков по карте, однако специалисты советуют проводить его, так как это понадобится в дальнейшем. Потом уже можно определить, какие риски будут запущены в процесс управления рисками. Список рисков согласно значению RR позволяет отсортировать их. Таким образом, риски, которые возникают с очень низкой вероятностью или будут оказывать очень незначительное воздействие на проект, могут быть удалены из дальнейшего анализа.

Самое важное на этом шаге — принять решение по поводу пороговых величин рисков, которые будут участвовать в дальнейшем рассмотрении. Это сложный вопрос, по которому трудно дать конкретные рекомендации. Огромную роль здесь играет опыт руководителя проекта, а также уровни рисков, которые приняты как пороговые в компании. Если в компании принят максимальный уровень риска проектов 77 (степени влияния по шкале 4 и вероятности от 1 до 10), то все риски, имеющие RR выше 45-50, должны быть признаны значимыми. Все риски, имеющие RR ниже 45-50, документируются, но в работу по управлению рисками не запускаются.

Еще один совет состоит в том, чтобы проанализировать риски на предмет их принадлежности к определенной задаче. Это делается сортировкой RMC-карт. Если среднее число рисков для различных задач проекта равно 3, а для некоторой задачи было идентифицировано 10 рисков, со значениями RR, колеблющимися от 10 до 50, то такие риски также стоит признать значимыми и вносить в план по управлению рисками.

Следует проанализировать и причины рисков. В формате идентификации рисков, который мы обсуждали в предыдущей статье — Cause-Risk-Effect (CRE), — есть дополнительное преимущество: можно отсортировать данный список по причинам. Здесь важно отметить, что при определении риска в CRE-форме очень важно грамотно описать причину риска, а не ограничиваться общими словами. В таблице 5 мы приводим примеры правильно и неправильно описанного риска. Именно это позволяет грамотно сортировать риски по причинам. Часто такая сортировка показывает, что какая-то причина, сотрудник или событие вызывает более чем один риск. Таким образом, претендентами на дальнейшее участие в процессе управления рисками являются риски с высоким рангом, задачи с количеством рисков, сильно отклоняющимся от среднего по задаче, и часто встречающиеся причины рисков.

Таблица 5. Неправильное и правильное определение риска

Шаг 6. Общий риск проекта

Следующий шаг — определить общий риск, с которым компания еще способна смириться, чтобы запустить проект в работу. Как правило, данная шкала допустимости в компании предопределена. Общий риск проекта (risk score, RS) определяется как среднее арифметическое всех значимых рисков проекта:

RS = ? RR / N, где
RR = Вероятность риска x Степень воздействия риска
N = общее количество рисков данного проекта

Обычно возникают разные мнения по поводу того, где установить порог для проекта. Это тоже сложный вопрос, и трудно дать конкретные рекомендации. Топ-менеджменту компании порог, как правило, видится несколько иначе, чем функциональным заказчикам проекта, и иначе, чем руководителю проекта. В компаниях, которые ввели управление рисками проектов в повседневную практику, это порог установлен. В этом случае появляются возможности взаимодействия с топ-менеджментом компании на новом уровне. Например: «Мы были необыкновенно заинтересованы в работе над данным проектом, однако в результате подготовительной работы было установлено, что риск проекта превышает отметку 77, допустимую в компании. К сожалению, нам придется отказаться от выполнения данного проекта в связи с неоправданностью риска для данного проекта». Или: «Риск данного проекта находится на уровне 75. Топ-менеджмент компании согласен инвестировать в проект дополнительно 100 тыс. долларов, если удастся снизить показатель риска до 60». Именно на этом шаге принимается решение о продолжении или сворачивании проекта.

Шаг 7. Документирование незначимых рисков

Что делать с рисками, которые были «признаны легковесными» и не включены в дальнейшее планирование управления рисками? Разумный подход к решению этого вопроса — принять во внимание следующее: невозможно до начала проекта спрогнозировать проект на 100%, поэтому по мере выполнения проекта и обретения лучшего понимания его составляющих рейтинги рисков будут меняться. Значит, риски, не вошедшие в дальнейшее управление рисками, должны быть задокументированы, чтобы можно было по мере выполнения проекта быстро понять, как ведет себя данный риск. Удобным форматом документирования является форма NTR (Non-top risk), показанная в таблице 6.

Таблица 6. NTR-форма

Риск Задача Вероятность Степень воздействия RR (Risk Ranking)

Шаг 8. Количественный анализ или RRP?

После качественного анализа рисков необходимо перейти либо к количественному анализу, либо напрямую к процедуре RRP (Risk Response Planning). Как определить, необходимо ли переходить к количественному анализу или к RRP?

На самом деле опыт показывает, что количественный анализ рисков не так уж важен, как большинство почему-то склонно считать. Поэтому очень многие проекты ограничиваются этапом субъективного качественного анализа рисков.

Источник

Про управление рисками

Управление рисками – неотъемлемая часть деятельности успешной, развивающейся организации.

Такое управление призвано упростить условия работы организации в постоянно меняющихся внешних, непредсказуемых или мало прогнозируемых условиях. При этом выявление новых возможных проблем идёт постоянно, как и контроль за результатами ранее производимых риск-менеджерами действий.

Реальная оценка экономических, производственных и других организационных показателей помогает отделу риск-менеджмента компании вырабатывать изменённые, новые меры или корректировать старые для достижения наименее рискового состояния компании. Могут быть выявлены целые зоны риска или отдельные менее вероятные события.

Всё зависит от специфики работы и величины анализируемой организации.

Сущность управления рисками

Управление рисками представляет собой комплекс мероприятий, которые направлены на выявление возможных негативных для конкретного бизнеса факторов и оценку вероятности их возникновения.

В условиях современной конкуренции, которая наблюдается в любой сфере деловой деятельности производственного предприятия или организации сферы услуг, управление рисками – одно из приоритетных направлений работы компании.

Результатом грамотного управления должна стать минимизация или полное устранение отрицательного влияния, которое может быть оказано воздействием возникших рискованных событий на прибыльность и целостность организации.

Иными словами, управление рисками работает с теми обстоятельствами, которые возникают как препятствие для функционирования/развития компании.

Для плодотворной работы с угрозами организовывается система управления рисками. Также эта работа может быть названа риск-моделированием. Она включает в себя выявление возможных рисков на основе имеющихся данных и разработку специальных мер по устранению или минимизации этих угроз.

Иногда помогают типичные решения, но также приходится разрабатывать и специальные. При этом учитываются такие факторы как бюджет, доступные ресурсы, степень вероятности осуществления того или иного события.

Понятие и содержание систем управления рисками

Система управления рисками – это устоявшийся или постоянно меняющийся и дополняющийся комплекс (план) мер по оценке вероятности возникновения угроз предприятия.

Действенная система управления рисками включает в себя:

  • прогнозы возникновения той или иной угрозы;
  • анализ возможных, гипотетических причин возникновения каждой выявленной угрозы;
  • разработку стратегии (стратегий) по устранению негативных последствий, прекращению или минимизации влияния рисковых факторов;
  • формирование благоприятных условий для внедрения ранее разработанных стратегий;
  • постоянное проведение системного мониторинга ситуаций, связанных с угрозами организации;
  • анализ и промежуточный контроль результатов внедрения противорисковых стратегий.

Согласно вышеуказанному содержанию системы управления рисками (СУР) на первом этапе всегда выполняется выявление любых возможных рисков с учётом специфики деятельности компании. Также определяется степень их влияния на организацию и её работу.

При этом используются методы количественного и качественного анализа. В зависимости от опасности или степени влияния потенциального риска на компанию и её прибыль составляется, согласовывается и вводится в действие план по управлению этими угрозами.

Когда СУР внедряется на предприятии и начинает свою работу, составляется аналитика влияния этой системы на финансовые показатели работы фирмы. Выявленные таким образом закономерности – очень важные показатели для риск-менеджера и руководства компании. После появления и выявления первых результатов производится заключение об эффективности применяемых мер.

Указанным образом внедрённая система, управляющая рисками, позволит значительно снизить отрицательное, иногда даже губительное влияние факторов неопределённости, которые постоянно присутствуют в любом бизнесе.

Специфика стандартизации управления рисками

Методы управления рисками на предприятии могут быть разными, но выделяют два основных направления: статическое и динамическое.

Традиционный или статический метод управления рисками предполагает принятие решения по нивелированию обнаруженных опасностей для жизнеспособности или доходности бизнеса, которое неукоснительно соблюдается и не может быть изменено.

В восьмидесяти процентах случаев такой стандартный способ управление инвестиционными и другими рисками характерен для компаний-приспособленцев и применяется он чаще всего как реакция по факту наступления того или иного события.

Статический способ управления рисками в основном применяется на небольших предприятиях (юридических лицах), в компаниях с простыми структурой и деятельностью и небольшим первоначальным капиталом.

Преимущество статической стратегии – отсутствие скачкообразных изменений, наличие стабильности.

Отрицательным влиянием традиционной модели управления производственными или иными рисками является возможность наступления стагнации, то есть застоя, что нежелательно для большинства организаций любой сферы деятельности.

Риск-менеджмент или управление рисками инвестиционного либо производственного проекта при выборе второй из указанных стратегий (динамической) призван отвечать на такие вопросы:

  1. Насколько профессионально у нас на предприятии используются наличные ресурсы для защиты от потенциально возможных угроз?
  2. Помогает ли выбранная стратегия усилению позиций организации на рынке?
  3. Можно ли в данный момент рисковать ради получения большей прибыли в ближайшем будущем?

Получается, динамическое управление организационными операционными рисками предполагает допущения гораздо большей вероятности наступления неблагоприятных событий, нежели статическая модель, а угрозы нельзя недооценивать.

Исходя из этого, рациональным становится грамотное сочетание этих двух разнящихся подходов.

Виды методов управления рисками

Методы управления предпринимательскими или другими рисками уже сформулированы и изучены.

  • отказ;
  • снижение (уменьшение);
  • разделение (дифференциация);
  • уклонение;
  • принятие;
  • передача (перенос) риска или совместное использование;
  • усиление;
  • удержание;
  • снижение убытков.

Метод управления рисками путём отказа от них заключается в полном отказе от слишком рискованного направления деятельности, проекта. Такое решение принимается риск-менеджерами и руководителями предприятия, когда рисковая переменная очень сильно угрожает дальнейшему существованию компании.

Снижение влияния угрозы или её уменьшение – это принятие нужных решений, которые минимизируют возможность возникновения нежелательной рисковой ситуации.

Например, можно создать запасы, ввести ограничения либо принять другие меры, которые снизят вероятность воплощения в реальность того события, которое считается возможным риском для рассматриваемого предприятия, проекта.

Разделение угроз или их дифференциация предполагает отсечение, «обнуление» возможности возникновения одной из нескольких возможных угроз.

Это может быть дублирование важных документов или отрезков на производственной линии, элементов процесса. В таком случае потеря документов или выход из строя одного участка (одной линии) производства не скажется на предприятии убыточно.

Так, дифференциация угроз страховой компании состоит в том, чтобы грамотно и равномерно наполнять страховой портфель: заключать побольше договоров с маленькими рисками и поменьше – с большими рисковыми вероятностями.

Уклонение от угрозы заключается в изменении плана работы предприятия так, чтобы целевая угроза вообще не могла состояться.

Такую стратегию не часто применяют, ведь её не просто воплотить в жизнь.

Например, если здание уже построено в не очень правильном месте и есть риск затопления, уже поздно менять местоположение дома, так как это нужно было учесть ещё на этапе создания плана будущего строения.

Стратегия принятия осуществляется бесстрашным руководителем, который не уклоняется никаким образом от угрозы, а принимает факт возможности его возникновения. При работе такого метода создаётся так называемый «План Б» на случай, если рассматриваемый риск всё же наступит.

Эту стратегию также идентифицируют как использование угрозы, если вероятность его наступления включается в общий план развития и функционирования организации.

Передача, перенос или совместное использование угрозы заключается в страховании от некоторых рисковых событий. Если компания больше всего боится пожара, так как у не много складов с легко воспламеняемой продукцией, стоит застраховаться от пожара.

Ещё один пример: организация с большим автопарком скорее всего застрахует его, тем более, что это дешевле, чем единичное страхование. Также можно перенести риск на контрагента путём заключения соответствующего договора.

Методы управления финансовым риском также включают такой действенный способ как усиление угрозы. Этот метод предполагает увеличение вероятности возникновения благоприятного исхода.

Для этого выявляют источники позитивных, а не негативных угроз. Система удержания как управление финансовым риском предполагает взятие части или всего объёма риска на себя.

Эта стратегия похожа на перенос или передачу риска, только такой перенос производится не на третьих лиц, а на мощности самой компании. Примером удержания угрозы служит создание дополнительных ресурсных резервов на случай их истощения, порчи.

Управление рисками в организации или в проекте может идти по стратегии снижения убытков. Обычно при неудаче других антирисковых методов наступает время применить этот.

Он состоит в минимизации убытков, которые уже точно возникнут или возникли. Однако меры по снижению денежных потерь могут быть и превентивными, то есть те, что были приняты заранее.

Применение методов

Использование того или иного метода («чистого», альтернативного или сборного) должно учитывать специфику предприятия и сферу её деятельности. Исходные показатели и их правильность тоже влияют на выбираемый метод. Управление угрозами постоянно согласовывается с динамически меняющимися показателями, которые отслеживает риск-менеджер для продолжения работы.

Когда степень угрозы уменьшается, тогда следует обратить внимание на другие угрозы, которые определены как второстепенные. На практике также менеджеры, работающие над рисками организации, учитывают срочность реагирования на ту или иную угрозу или возможности её возникновения. При наличии большего времени можно провести более детальный, вдумчивый анализ всем коллективом, чтобы выработать максимально подходящую стратегию проведения антирисковых мероприятий.

Алгоритм построения СУР в компании

Чтобы выстроить работающую СУР в компании, необходимо придерживаться следующего алгоритма действий: идентификация, анализ, планирование, мониторинг (контроль).

Управление рисками любой организации невозможно без прохождения первого этапа вышеуказанного алгоритма построения СУР.

Речь идёт об идентификации или выявлении, нахождении угроз. В первую очередь стоит отметить, что количество угроз вокруг предприятия или отдельного проекта неисчислимо.

Это значит, что нет смысла пытаться найти все из них, ограничиваются выявлением нескольких десятков.

Важно помнить, что первый этап – ответственный, ведь чем больше информации будет собрано в течение этого шага, тем лучше от возникновения рисков можно будет защититься, приняв контрмеры: даже от непредсказуемого риска есть возможность устраниться.

В случае, когда серьёзная угроза остаётся без внимания, то есть не выявляется на первом этапе, её наступление ставит под удар всю организацию или рисковый проект.

Этап анализа позволяет определить, насколько выявленные угрозы опасны и возможны.

При осуществлении рисковой анализаторской деятельности необходимо составить как можно более подробное описание возможных угроз, чтобы получить чёткое представление о потенциальной опасности. Основной целью этого этапа является определение наиболее страшных для компании рисков.

Это необходимо, чтобы направить основные силы (ресурсы) на устранение или уменьшение влияния самых сложных угроз. Для удобства стоит оценить вероятность возникновения и величину возможных последствий для каждой угрозы.

Таким образом постепенно ответственные сотрудники должны определить важность каждого из выявленных рисков организации.

На третьем этапе, который называется планированием, нужно составить план управления рисками. Он составляется для всех угроз, которые по итогу первых двух этапов были признаны критическими или самыми вероятными либо убыточными.

Именно при планировании выбирают дальнейшую стратегию для управления каждым из рисков.

Этап четвёртый (мониторинг и контроль) нужен для идентификации результативности управления рисками. Необходимо постоянно мониторить, как именно предпринятые меры влияют на вероятность возникновения угроз.

Принципы реализации СУР

Каждая эффективная, действенная СУР должна осуществляться на основе следующих принципов:

  • комплексности;
  • интеграции;
  • непрерывности.

Принцип комплексности предполагает обязательное участие в работе с рисками всех подразделений предприятия, то есть нельзя учесть финансовый риск и при этом забыть о производственном.

Специалист, отвечающий за свой кластер деятельности организации должен сообщить о вероятности наступления угроз, исходя из своего опыта и специализации в рассматриваемом проекте или организации.

Принцип интеграции, в отличие от предыдущего, говорит о необходимости рассмотрения рисков и работы с ними в связке.

Это значит, что формируется понятие интегральной угрозы, которая учитывает сразу все возможные факторы.

Такой глобальный, всеобъемлющий риск будет включать в процентном или долевом соотношении влияние всех возможных угроз на деятельность предприятия в целом.

Принцип непрерывности отвечает за постоянное и непрерывное слежение за состоянием риска в условиях постоянно меняющихся условий работы, в том числе экономических и других внешних, а также внутренних условий, в которых разворачивает свою деятельность компания или осуществляется проект.

Вместе с этим выявляют, определяют новые угрозы, если они появляются, и проводят с ними такую же работу.

Оценка компании на предмет управления рисками

Планирование управления выбранными рисками на предприятии, а также последующая деятельность по работе с угрозами должны сопровождаться оценкой правильности предпринимаемых действий.

Для этого следует проверить соблюдение таких условий:

  • проблемы решаются только в рамках имеющегося уставного капитала юридического лица или бюджета, заложенного в проект;
  • при создании плана для работы с рисками следует учитывать в том числе показатели, относящиеся к конкретной сфере деятельности, в которой работает организация;
  • проверяют, проведён ли тщательный, детальный анализ ситуации;
  • управление рисками учитывает устоявшуюся корпоративную стратегию организации;
  • при планировании управления рисками берут во внимание только экономически обоснованные варианты: они должны основываться исключительно на достоверной, проверенной информации, которая не оказывает негативное действие на итоговые результативные показатели, отвечающие за хозяйственную деятельность организации;
  • если многое «ставится на кон» в борьбе с возможными угрозами, но при этом выигрыш в будущем сомнителен, не стоит осуществлять такие затратные меры.

Чтобы риск-план был грамотно составлен и работал, нужно ещё на этапе поиска проблем чётко осознавать стоящие перед менеджером и руководителем цели. Только на основе этой информации, обработанной правильным образом, нужно делать первичные выводы о наличии и важности тех или иных рисков.

Таким образом постепенно формируется поступательная, непрерывная система, в которой предыдущие данные используются для перехода к следующему этапу только после анализа и оценки.

Современное состояние управления рисками в России

Планирование и контроль управления рисками в России как сфера по управлению рисками развивается медленно. В частности, встаёт острая необходимость в создании системы сертификации услуг риск-менеджеров. Так практика, которая сложилась на различных российских предприятиях, в основном направлена на уменьшение глобальных, опасных рисков.

К ним относятся угрозы неполучения прибыли (получения убытков), а также недостижение поставленных целей. Часть угроз страхуется, если это возможно.

При этом компании стараются ориентироваться на опыт зарубежных коллег и мировые стандарты, чем улучшают состояние риск-менеджмента на предприятии. Планирование управления рисками теперь встречается на всё большем количестве предприятий, расположенных на территории России.

Оно определяет наличие, сущность, степень важности и меру опасности угроз предприятия.

Источник

Читайте также:  Вариант 2 для младших школьников
Adblock
detector