Управление рисками обзор употребительных подходов реферат

Обновлено: 08.07.2024

Подходы к управлению рисками на каждом предприятии разные. Выбирают различные методы анализа, предотвращения, контроля угроз. Но главная цель у всех одна – настроить систему таким образом, чтобы свести убытки и упущенные возможности компании к минимуму. Поэтому от риск-менеджеров требуется творческий подход, знания современных методологий и развитые организаторские навыки.

В статье разберемся в актуальных тенденциях управления угрозами благополучию предприятия, которые используются в мировой практике.

Основные подходы к управлению рисками

Чтобы заложить фундамент системы управления рисками, нужно выбрать за основу один из общепринятых подходов:

Активный – установление максимального контроля над существующими угрозами, предполагает инвестиции в поддержание системы управления.
Адаптивный – приспособление хозяйственной деятельности к внешним условиям, что позволяет контролировать только часть неопределенностей.
Консервативный – локализация убытков, нейтрализация их влияния на работу предприятия, при этом затраты на управление угрозами минимальны, но возможный ущерб может оказаться критичным.
Комплексный или интегрированный – объединение нескольких подходов, обеспечивает высокую гибкость в управлении риском, но требует инвестиций для разработки такой системы.

В целом, жизнеспособны все подходы. Но комплексный – самый универсальный и результативный, хотя затраты на его воплощение велики. Им обычно пользуются в крупных компаниях, особенно промышленных. Там инвестиции в формирование и внедрение системы риск-менеджмента, заточенной под особенности конкретного предприятия, являются оправданными.

Традиционный VS Современный подход к управлению рисками

Из-за низкого КПД традиционные подходы применяются все реже, особенно в развивающихся отраслях бизнеса. На смену приходят современные, которые предполагают управление неопределенностями на всех иерархических уровнях по всем направлениям работы. В этот процесс вовлекаются сотрудники из разных отделов.

Рассмотрим отличия этих двух подходов управления рисками на примере:

Традиционный подход

Вы переходите дорогу, на вас мчится машина со скоростью 120 км/ч и не собирается останавливаться. Оцениваем риск: его вероятность – 90%, ущерб – 10 млн долларов (стоимость человека для общества). Это превышает порог допустимости риска, поэтому план действий прост: пропустить ее, а затем перейти дорогу.

Современный подход

Вы пропустили автомобиль и задаетесь вопросами: насколько часто происходят автодорожные происшествия, являются ли методы их предотвращения достаточными и допустимыми? Для этого необходимо узнать сколько пешеходов погибает за год – ожидаемые потери, а сколько в худшие из 10 лет – грубая мера риска. Допустим, что в среднем за год погибает до 5 пешеходов. Можно установить искусственные неровности для понижения скорости за 3 млн долларов, что уменьшит смертность до 1 человека в год или построить туннель за 10 млн долларов, который уменьшит смертность до 0.02. Чтобы принять стратегически верное в этой ситуации решение, нужно проанализировать приемлемость соотношения затрат к прибыли.

Следовательно, традиционный анализ эффективен для принятия тактических решений. Современный же подход позволяет решать стратегические задачи. Среди них – совершенствование системы риск-менеджмента, предотвращение подобных угроз в будущем, оптимизация затрат на преодоление неблагоприятных последствий. Он требует совершенно других методик анализа, измерения и управления неопределенностями.

Среди остальных недостатков традиционного подхода можно выделить:

Не соответствующая действительности классификация угроз. Например, небольшие риски с большой вероятностью описываются как высокие, а крупные маловероятные – недооцениваются.
Бессистемность в управлении. Излишний контроль областей низкого риска и недостаточный – высокого.
На первой стадии идентифицируются все возможные угрозы. Многие из них накладываются и их число может перевалить за тысячу. Управлять такой огромной матрицей на практике невозможно.
Ущерб описывается в единственном возможном варианте. В практике на размер убытков влияет много факторов, поэтому для каждого варианта необходимо рассчитывать соответствующую вероятность.

Современный подход к управлению рисками: основные акценты

Этот подход предполагает включение информации о рисках компании в процедуру принятия управленческих решений. При этом их уровень соизмеряется с допустимостью потерь для разных заинтересованных лиц.

Такая система риск-менеджмента базируется на данных, моделировании, глубоком анализе. Устанавливается прочная взаимосвязь между измерением и управлением неопределенностями. При верной организации процесса возможно:

дополнительно повысить эффективность компании;
обеспечить информационную поддержку для принятия бизнес-решений;
дополнительно повысить степень доверия инвесторов через стабилизацию результатов инвестирования.

Современные подходы к измерению риска

Анализ исторических данных – первое, чему нужно уделить внимание в процессе измерения возможных угроз. Он позволяет установить взаимосвязь между вероятностью и размерами убытков, измерить ожидаемые и случайные потери, характерные для данной отрасли за конкретный период. Для этого необходимо:

Проанализировать одиночные убыточные случаи
Классифицировать эти события, составить риск-матрицу
Составить график распределения убытков по вероятности и размеру

Рассчитать VaR (Value at risk) доступным методом
Составить график общего распределения потерь

Подходы к классификации неопределенностей

Для структурированного управления важно распределить угрозы по непересекающимся категориям. Объединение схожих убытков в классы вместо рассмотрения их по отдельности, позволяет наладить систему управления ими.

Сложность классификации состоит в том, что убыточные ситуации чаще включают элементы: причина, само событие, последствия. Современный подход предполагает “посмертный анализ”, т.е. изучение и классификация события по величине и частоте убытков в аналогичных ситуациях.

Особенности реализации современного подхода

Для воплощения современного подхода на предприятии должны выполняться 3 важных условия:

система риск-менеджмента координируется высшим руководством, в ней задействован каждый сотрудник компании;
управление угрозами непрерывно, регулярно проводятся их измерение, анализ, совершенствуются комплексы предотвращающих мер;
рассматриваются все неопределенности и пути их оптимизации.

Для внедрения такой системы целенаправленную работу нужно вести сразу по 5 направлениям.

Современный подход является последовательным упорядоченным процессом для принятия более взвешенных управленческих решений, в котором информация о риске и контроле включается в общую систему. Он требует объединения и слаженной работы всех материальных, организационных, интеллектуальных, человеческих и остальных ресурсов предприятия. Грамотно налаженная система с адекватными финансовыми инструментами позволяет предвидеть, выявить и измерить все неопределенности, управляя ими в комплексе.

Переход от традиционных к современным подходам

Отдельные превентивные мероприятия, такие как диверсификация, страхование и другие являются недостаточными для стратегического управления предприятием. В условиях нестабильной финансовой обстановки и высокой конкуренции преимущество за интегрированными системами, в которых каждая угроза рассматривается во взаимодействии с остальными. Эффективность расходования средств на риск-менеджмент достигается только когда этот процесс структурирован, последователен, включается во все бизнес-процессы предприятия.

Информационный бюллетень JET INFO
Обзор подготовлен по материалам учебного курса "Основы информационной безопасности" доктора физ.-мат. наук, заведующего сектором в отделе информационной безопасности НИИ системных исследований РАН В.А. Галатенко

Введение

Информационная безопасность (ИБ) должна достигаться экономически оправданными мерами. В данной статье представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы.

Тема "Управление рисками" рассматривается на административном уровне ИБ, поскольку только руководство организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, нужны только для тех организаций, информационные системы (ИС) которых и/или обрабатываемые данные можно считать нестандартными.

Типовую организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно, с формальной точки зрения, в свете российского законодательства в области информационной безопасности). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором — достаточно определиться лишь с несколькими параметрами.

Основные понятия

Адекватная безопасность — уровень безопасности, соразмерный с риском и величиной ущерба от потери, ненадлежащего использования, модификации или несанкционированного доступа к информации.

Базовый уровень безопасности — минимальный набор регуляторов безопасности, необходимый для защиты информационной системы, определяемый из потребностей ИС в обеспечении доступности, конфиденциальности и целостности.

Калиброванная (регулируемая, настраиваемая, повышаемая) безопасность — система безопасности, обеспечивающая несколько уровней защиты (низкий, умеренный, высокий) в зависимости от угроз, рисков, доступных технологий, поддерживающих сервисов, времени, кадровых и экономических ресурсов.

Компрометация — раскрытие информации неавторизованным лицам или нарушение политики безопасности организации, способное повлечь за собой умышленное или неумышленное несанкционированное раскрытие, модификацию, разрушение и/или потерю информации.

Нарушение информационной безопасности — нарушение или угроза неминуемого нарушения политики информационной безопасности, правил добропорядочного поведения или стандартных правил информационной безопасности.

Уровень (степень) критичности ИС — параметр, характеризующий последствия некорректного поведения информационной системы. Чем серьезнее прямое или косвенное воздействие некорректного поведения, тем выше уровень критичности ИС.

Система, критичная для выполнения миссии организации (критичная система) — телекоммуникационная или информационная система, передающая, обрабатывающая и/или хранящая информацию, потеря, ненадлежащее использование и/или несанкционированный доступ к которой могут негативно воздействовать на миссию организации.

Окружение (среда) — совокупность внешних процедур, условий и объектов, воздействующих на разработку, эксплуатацию и сопровождение информационной системы.

Воздействие (влияние) — величина (размер) ущерба (вреда), ожидаемого в результате несанкционированного доступа к информации или нарушения доступности информационной системы.

Анализ воздействия на производственную деятельность — анализ потребностей информационной системы и ассоциированных с ней процессов и зависимостей, используемый для спецификации требований к непрерывности функционирования и приоритетов восстановления ИС после серьезных аварий.

Контрмеры — действия, устройства, процедуры, технологии или другие меры, уменьшающие уязвимость информационной системы. Синонимом служит термин "регуляторы безопасности".

Лечение — действие по исправлению уязвимости или устранению угрозы. Тремя возможными типами лечения являются:

установка корректирующих "заплат";
регулировка конфигурационных параметров;
устранение уязвимых программных приложений.

План лечения — план осуществления лечения одной или нескольких угроз и/или уязвимостей, которым подвержена информационная система организации. В плане обычно рассматривается несколько возможных способов устранения угроз и уязвимостей и определяются приоритеты по осуществлению лечения.

Риск — уровень воздействия на производственную деятельность организации (включая миссию, функции, образ, репутацию), ее активы (ресурсы) и персонал, являющегося следствием эксплуатации информационной системы и зависящего от потенциального воздействия угрозы и вероятности ее осуществления (реализации).

Риски, связанные с информационными технологиями — общее воздействие на производственную деятельность с учетом:

вероятности того, что определенный источник угроз использует или активизирует определенную уязвимость информационной системы;
результирующего воздействия, если угроза будет реализована. Риски, связанные с информационными технологиями, являются следствием законодательной ответственности или производственных потерь вследствие:

несанкционированного (злоумышленного, незлоумышленного, случайного) доступа к информации;
незлоумышленных ошибок и/или упущений;
разрушения ИС в результате стихийных бедствий или техногенных катастроф;
неспособности проявлять должную аккуратность и старательность при реализации и/или эксплуатации ИС.

Остаточный риск — остающийся, потенциальный риск после применения всех контрмер. С каждой угрозой ассоциирован свой остаточный риск.

Совокупный (суммарный, полный) риск — возможность осуществления вредоносного события при отсутствии мер по нейтрализации рисков.

Анализ рисков — процесс идентификации рисков применительно к безопасности информационной системы, определения вероятности их осуществления и потенциального воздействия, а также дополнительных контрмер, ослабляющих (уменьшающих) это воздействие. Анализ рисков является частью управления рисками и синонимом термина "оценка рисков", он включает в себя анализ угроз и уязвимостей.

Управление рисками — процесс, включающий оценку рисков, анализ экономической эффективности, выбор, реализацию и оценку контрмер, а также формальное санкционирование ввода системы в эксплуатацию. В процессе управления рисками принимаются во внимание и анализируются эффективность действий и законодательные ограничения.

Нейтрализация (уменьшение, ослабление) рисков — определение приоритетов, оценка и реализация контрмер, должным образом уменьшающих риски.

Терпимость по отношению к риску — уровень риска, который считается допустимым для достижения желаемого результата.

Санкционирование безопасной эксплуатации — официальное решение, принимаемое руководством организации, санкционирующее ввод информационной системы в эксплуатацию и явным образом объявляющее допустимыми риски, оставшиеся после реализации согласованного набора регуляторов безопасности.

Категория безопасности — характеристика информации и/или информационной системы, основанная на оценке потенциального воздействия потери доступности, конфиденциальности и/или целостности этой информации и/или информационной системы на производственную деятельность организации, ее активы и/или персонал.

Уровень защищенности — иерархический показатель степени чувствительности по отношению к определенной угрозе.

Введение

Основные понятия

установка корректирующих "заплат";
регулировка конфигурационных параметров;
устранение уязвимых программных приложений.

вероятности того, что определенный источник угроз использует или активизирует определенную уязвимость информационной системы;
результирующего воздействия, если угроза будет реализована. Риски, связанные с информационными технологиями, являются следствием законодательной ответственности или производственных потерь вследствие:

несанкционированного (злоумышленного, незлоумышленного, случайного) доступа к информации;
незлоумышленных ошибок и/или упущений;
разрушения ИС в результате стихийных бедствий или техногенных катастроф;
неспособности проявлять должную аккуратность и старательность при реализации и/или эксплуатации ИС.

Повсеместная конкуренция, сокращение производственного цикла, увеличение производственной гибкости — все это сеет неопределенность при контроле проектов и повышает необходимость мышления, направленного на оценку рисков. Необходимо предупреждать опасности, тщательнее планировать свои действия и анализировать текущую деятельность, чтобы понять, какие риски могут преследовать и какие возможности можно раскрыть, если от них избавиться. Таким образом, риск-менеджмент становится важной частью принятия управленческих решений.

Конечно, можно рискнуть и жить без лишнего планирования и прогнозирования. Но тогда есть вероятность, что не только проект не будет правильно реализован: вся деятельность компании будет под угрозой. Такой поворот вряд ли устроит адекватного руководителя или владельца бизнеса.

Планирование управления рисками

Управление рисками — это деятельность, сопровождающая все этапы проекта. Работа не должна вестись от случая к случаю, она должна быть хорошо спланирована. Управление рисками требует множества ресурсов.

Планирование управления рисками подразумевает поиск работающих подходов к процессу. Оно помогает:

найти время и другие ресурсы для проведения процедуры управления рисками;
выделить основания для оценки рисков;
увеличить шансы на результативность проекта. Планирование не переходит в процесс управления, он завершается на первой стадии проекта. Оно строится на:
отношении к риску со стороны всех участников проекта — оно ложится в основу принципов управления рисками;
внутренних стандартах компании — они могут уже включать управление рисками разных категорий, сценарии поведения, распределение ролей внутри коллектива и определение уровней ответственности;
описании проекта и ожидаемых от его реализации результатов;
плане управления проектом — документе, в котором перечислены все аспекты работы над ним.

План состоит из нескольких элементов:

Определение методик и инструментов для управления рисками.
Распределение ролей для каждой процедуры и разъяснения ответственности.
Определение стоимости работ и времени.
Установление сроков управления рисками и проработка четкого тайминга.
Определение категории рисков, выполнение четкой идентификации.
Общие методы определения рисков и степени вероятности их возникновения во время ведения проекта.

Идентификация рисков

Этот процесс связан с выявлением рисков, которые могут испортить проект или оказать на него необратимое воздействие. Повторять выявление рисков нужно на всех этапах проекта — ведь на протяжении его существования могут возникать разные новые сложности.

Идентификационные данные могут браться из различных источников. Например, это может быть база знаний, которая есть практически в каждой организации. В ней могут содержаться данные об аналогичных проектах, которые были в компании. На основании этой информации можно сделать вывод о вероятных рисках в новых проектах.

Еще один источник информации — научные работы, маркетинговая аналитика и другие данные, находящиеся в свободном доступе. Если проект не уникален, то можно равняться на опыт других аналогичных работ, созданных другими компаниями. Обычно они рассказывают о своем пути в формате кейсов. Там содержатся подробные данные о цели работы, связанных с ней трудностях и способах их преодоления.

Все проекты строятся на гипотезах и предположениях. Обычно все неточные данные указываются с пометкой. Другие же, считающиеся достоверными, принимаются как данность. Риски могут возникнуть из-за неверно обозначенных допущений, поэтому на них нужно обращать внимание и детально анализировать каждую неточность.

Сбор информации выполняется способами, которые требуют разного времени на подготовку:

Экспертные опросы — они помогают найти специалистов, для решения задач и минимизации рисков. Каждый такой эксперт высказывает свое мнение о вероятных рисках и оценивают их, основываясь на личном опыте и имеющихся знаниях о проекте. Такой способ поможет избежать типичных ошибок, которые повторяются из проекта в проект. Эксперт должен знать все детали проекта. Опрос проводится в формате вопросов, с помощью которых интервьюер направляет респондента в нужную сторону. Информацию, которую выдает эксперт, необходимо записывать подробно. Если в опросе участвует несколько экспертов, каждый из них должен получить одну и ту же вводную информацию.
Мозговой штурм. В нем участвуют сотрудники компании, которым дается задание — поразмышлять на тему вероятных рисков. В ходе штурма не должно быть дискуссий и споров. Специалисты должны высказывать свое мнение в порядке очереди. Все мысли так же записываются и классифицируются по ряду признаков. При этом каждый риск получает свое название. На следующем этапе список риска сокращается и каждый его пункт подвергается анализу.
Метод Делфи. Метод очень похож на предыдущий, однако это не одно и то же. Главное отличие в том, что опрос проводится анонимно, поэтому результаты менее предвзяты и каждый участник действительно высказывает личное мнение, а не подвергается влиянию какого-то другого члена группы. Кроме того, опрос проводится в несколько этапов, на каждом из которых участникам предлагается своя анкета. Подведение итогов также проводится по завершении каждого этапа. На завершающем этапе происходит ознакомление экспертной группы с ответами, производится уточнение мнений. Таким образом участники опроса приходят к общему мнению относительно рисков внутри проектов.

Методы оценки рисков и инструменты управления рисками

Теоретические аспекты управления риском говорят, что методов оценки множество и каждый из них работает с использованием своих инструментов. Такими инструментами могут быть организационные, технические и другие действия, позволяющие обеспечить безопасность и безошибочность проекта. Количество инструментов никак не регулируется, их можно быть крайне много.

Классификация ведется по разным признакам: управленческим методам, сферам деятельности, выгодам, производственным фазам и т.д.

В соответствии с другой классификацией воздействие на риски состоит из нескольких этапов:

Снижение уровня риска. На этом этапе прорабатываются варианты сокращения ущерба или масштабов возникновения неблагоприятных событий. Обычно это достигается с помощью различных организационных мероприятий. В области строительства это укрепление зданий, установка систем оповещения, пожарных сигнализаций, обучение сотрудников действиям в чрезвычайных условиях.
Исключение риска. Этот этап подразумевает отказ от проекта, если он связан с опасностью. Или производится сильное изменение деятельности, в результате которого возникновение риска становится невозможным.
Сокращение интенсивности рисков. Благодаря этому каждый участник проекта может контролировать риски и их предотвращать. В силах специалистов организовать свою деятельность так, чтобы проблем на этапе ведения проекта не возникло. У них есть пул действий, которые позволяют либо полностью исключать возможные риски, либо снижать их интенсивность. Если же риски все-таки возникают, сотрудники вправе принимать меры, которые снижают потери и другие последствия их появления.
Сохранение риска. Это не всегда связано с отказом от решительных мер. Иногда при допущении вероятных проблем специалисты специально не принимают мер, так как в компании есть резервные фонды, направленные на самострахования. С их помощью покрывается ущерб от неблагоприятных событий. Одним из видов страхования является взаимное страхование. В таком случае каждый страхователь входит в клуб страховщиков. Обычно участники взаимосвязанные структуры, работающие в рамках одной сферы. Страховка может покрывать как общие, так и частные риски.

Этапы управления рисками

Выявление угроз. Происходит это отделом финансовой аналитики. Он должен быть либо внутри компании, либо должны подключаться сторонние эксперты. Но такой этап обязательно должен выполняться людьми, которые знают, что делают. Работа может вестись как в общем, так и по отделам. Если компания совсем небольшая, то никаких аналитиков не нужно. С задачей вполне справится сам руководитель или приближенные к нему люди, которые знают особенности компании и ее внутренние процессы, а также хорошо осведомлены о проекте. По итогам этой работы должен быть составлен полный перечень возможных угроз и дана их интерпретация в финансовом эквиваленте.
Оценка важности рисков. Производится с помощью ответа на ряд вопросов. В частности, определяется приемлемость угроз (какие из них можно пережить, а какие недопустимы), какие риски нужно устранять прежде всего, а какие могут подождать, ведь их последствия не так страшны, какие методы предотвращения рисков наиболее доступны времени использования. Оценка может выполняться с помощью аналитических и математических методов. При этом анализ должен быть комплексным и подробным.
Планирование устранения последствий и непосредственная нейтрализация. Здесь готовится стратегия борьбы с негативными последствиями и выполняется ее реализация. Чем тщательнее будет выполнена проработка последствий, чем больше способов будет найдено для ее устранения, тем с меньшими проблемами компания столкнется в дальнейшем. Этот позитивный опыт способен сыграть на руку компании: он ляжет в копилку и поможет в дальнейшей работе по управлению рисками. Чем больше шаблонных действий будет отработано, тем лучше компания будет справляться с угрозами. Ведь нового и не типичного, по сути, не так уж много.

Мониторинг и контроль

Этот этап мы решили вынести в отдельный пункт, так как он по важности стоит не на последнем месте. При каждом новом проекте будут возникать свои риски, поэтому контроль должен быть регулярным. Важно быстро корректировать выбранную стратегию и подстраиваться под ситуацию — не всегда выбранный в начале путь оказывается эффективным. Для этого нужен мониторинг.

Каждый этап управления рисками связан с другими ступенями в единую цепь. Поэтому нельзя обращать внимание на один и не замечать другой. Ситуацию нужно анализировать и контролировать со всех сторон, тщательно углубляясь в детали и рассматривая их с точки зрения деятельности компании в целом.

В мире нет проектов, которые бы шли так, как их запланировали создатели на пути прописывания в документах. Возникают моменты, которые не были предусмотрены и под которые нужно подстраиваться здесь и сейчас. И не всегда эти моменты имеют положительный оттенок, чаще всего они связаны с серьезными рисками как в рамках реализации проекта, так и в деятельности всей компании. Это серьезный стресс для тех, кто работает. Поэтому надо быть готовым к таким проблемам и уметь их правильно решать.

Управление рисками проекта помогает подумать и определить угрозы заранее, понять как их избежать и продолжать работать в изменяющихся условиях. Предотвратить последствия проще, чем разбираться с измененной ими реальностью. Поэтому стоит как можно больше ресурсов выделять на управление рисками проекта и не лениться проводить исследования для выявления вероятных проблем.

3 октября 2017

Общие подходы к управлению рисками

Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была выпускающим редактором журнала Intelligent Enterprise.

Использование любых технологий наряду с положительным эффектом влечёт за собой возникновение неопределённости и связанных с этими технологиями рисков. ИТ не исключение. Широкое применение ИТ как в системах управления компаниями, так и в технологических процессах привело к тому, что риски, связанные с ИТ, стали важной частью всех бизнес-рисков организации. Если происходят какие-то нежелательные события, без управления ИТ-рисками организацию ждут перерасход ресурсов и избыточное финансирование. В результате это приводит к прямым потерям и, возможно, к отказу от использования технологий, которые кажутся слишком новаторскими и недостаточно проверенными. А значит, всё закончится упущенными коммерческими возможностями. В этом цикле статей мы расскажем об управлении ИТ-рисками, чтобы плюсы новых технологий не превращались в минусы.

Риск, событие, характеристки риска

Риск — следствие влияния неопределённости на достижение поставленных целей.

ГОСТ Р 51897-2011

Событие — возникновение или изменение специфического набора условий 1 .

ГОСТ Р 51897-2011

Тогда риску можно дать такое определение:

Риск — это следствие вероятности возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей.

Здесь важно подчеркнуть несколько обстоятельств:

риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
событие должно быть случайным: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
событие может привести к отклонению от ожидаемых результатов деятельности с негативными последствиями (ведь возможны и позитивные).

Исходя из этого, риск характеризуется двумя величинами:

вероятность, которая характеризует наступление рискового события;
цена потери и величина возможных негативных последствий.

Вероятность возникновения риска — характеристика возможного наступления рискового события.

Каждому риску отводится вероятность больше 0%, но меньше 100%. Риск с вероятностью 0% не считается риском, так как не может произойти. Равно как и риск с вероятностью 100% — тоже не риск, а реальное событие, которое в обязательном порядке предусматривается проектом.

Последствия риска — степень влияния риска на достижение поставленных целей организации: трудозатраты, деньги, отклонения от принятого плана и т. д.

Иногда эти две величины объединяют в один показатель — уровень (или величина) риска.

Уровень риска — это мера риска, комбинация характеристик его вероятности и последствий.

В новой редакции стандарта ISO 9001:2015 появились требования по управлению рисками. Управление рисками включено в несколько пунктов стандарта и заменило прежнее требование необходимости предупреждающих действий.

Подход к управлению рисками

Оцениваемые характеристки риска позволяют говорить об управлении рисками.

Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.

Управление рисками позволяет организации определить, в какой степени потенциальные события повлияют на достижение её целей. Согласно рекомендациям авторитетной организации COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:

представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
нацелено на определение событий, которые представляют опасность для организации.

У компании есть четыре варианта реакции на риск:

принятие риска, когда не предпринимается никаких особых действий, связанных с данным риском;
уменьшение риска посредством контроля за деятельностью и процессами либо принятия специальных мер;
передача риска сторонней организации путём привлечения партнёров или страховых компаний;
уклонение от риска — прекращение деятельности, ведущей к риску.

Остановлюсь особо на варианте уменьшения риска. Самая очевидная реакция на риск — организовать контроль за деятельностью и процессами. Однако этого не всегда достаточно: нередко риск требует принятия специальных мер. Различают несколько видов рисков:

присущий риск — это уровень риска, если не предпринимается никаких действий для изменения вероятности риска или его влияния;
остаточный риск — это уровень риска, остающийся после принятия минимальных мер по реагированию на риск (как правило, сюда входит контроль за деятельностью и процессами предприятия);
приемлемый остаточный риск — это уровень риска, равный или ниже допустимого в данной организации и в данных условиях.

Логика снижения уровня риска показана на рис. 1. Как правило, первоочередные меры реагирования на риск — контроль за ходом деятельности и процессами организации. Это снижает присущий уровень риска, но если остаточный риск все же выше, чем приемлемый для организации, то необходимо предусмотреть специальные меры реагирования на риск. В идеале эти меры должны быть достаточными, чтобы уменьшить остаточный риск до приемлемого уровня. Уровень риска, который организация готова принять, называется толерантностью к риску. Это индивидуальная характеристика: одни организации готовы рисковать чуть больше в надежде получить большую премию за риск, в то время как другие всячески обходят риски стороной.

Рис. 1. Общая логика снижения уровня риска до приемлемого уровня.

Стандарты управления рисками

В сентябре 2015 года Международная организация по стандартизации (International Organization for Standardization, ISO) опубликовала новую редакцию стандарта ISO 9001:2015. Одно из ключевых отличий от предыдущей версии — появление требований по управлению рисками. Требования по управлению рисками дополнили несколько пунктов стандарта и заменили прежнее требование необходимости предупреждающих действий.

Существуют стандарты, непосредственно посвящённые управлению рисками. Наиболее важные международные стандарты в области управления рисками приведены в таблице 1. Прежде всего, это семейство стандартов 31000, которое включает:

Таблица 1. Международные стандарты в области управления рисками предприятия.

В следующей части статьи мы поговорим о системе управления рисками и соотвествующем процессе.

Читайте также:

Управление рисками обзор употребительных подходов реферат

Основные подходы к управлению рисками

Традиционный VS Современный подход к управлению рисками

Современный подход к управлению рисками: основные акценты

Переход от традиционных к современным подходам

Оглавление

Введение

Оглавление

Введение

Планирование управления рисками

Идентификация рисков

Методы оценки рисков и инструменты управления рисками

Этапы управления рисками

Мониторинг и контроль

Риск, событие, характеристки риска

Подход к управлению рисками

Стандарты управления рисками