1. Общие положения

Риск это влияние неопределенности на достижение целей.

Любое управленческое решение принимается в условиях риска, вызванного неполнотой информации об объекте управления и окружающей его среде и ограничением времени на его принятие. Среда принятия решений варьируется в зависимости от степени риска. Условия определенности существуют только тогда, когда руководитель точно знает результат, который будет иметь каждый выбор. В условиях риска вероятность результата каждого решения можно определить только с известной достоверностью. Если информации недостаточно для прогнозирования уровня вероятности результатов в зависимости от выбора, условия принятия решения являются неопределенными. В условиях неопределенности руководитель на основе анализа рисков должен установить допустимость возможных рисков и их последствий.

Управление и риск не отделимы. Риски управления организацией это риски целеполагания, маркетинга и менеджмента организации.

Риск целеполагания - это возможность неправильного определения целей организации. При неправильно определенных и поставленных целях деятельность организации не может быть успешной.

Риск маркетинга - это возможность отклонений в результатах деятельности организации при неправильном определении неопределенностей рыночных условий – выборе ниши и позиционировании организации и ее продукции на рынке.

Риски менеджмента - это возможность неправильных действий в процессе достижения поставленных целей.

Риск менеджмент явно или не явно изначально присутствует во всех стандартах на системы менеджмента минимум как предупреждающие действия.

В риск-менеджменте принято выделять несколько ключевых этапов:

Выявление риска, его анализ и оценка вероятности его реализации и масштаба последствий;

Выбор методов и инструментов управления выявленным риском;

Разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;

Реализация риск-стратегии;

Оценка достигнутых результатов и корректировка риск-стратегии.

Место возникновения рисков:

Общая классификация рисков:

Виды рисков по роду опасности:

• Техногенные риски - это риски, связанные с хозяйственной деятельностью человека (например, загрязнение окружающей среды).
• Природные риски - это риски, не зависящие от деятельности человека (например, землетрясение).
• Смешанные риски - это риски, представляющие собой события природного характера, но связанные с хозяйственной деятельностью человека (например, оползень, связанный со строительными работами).

Виды рисков по сферам проявления:

• Политические риски - это риски прямых убытков и потерь или недополучения прибыли из-за неблагоприятных изменений политической ситуации в государстве или действий местной власти.
• Социальные риски - это риски, связанные с социальными кризисами.
• Экологические риски - это риски, связанные с вероятностью наступления гражданской ответственности за нанесение ущерба окружающей среде, а также жизни и здоровью третьих лиц.
• Коммерческие риски - это риски экономических потерь, возникающие в любой коммерческой, производственно-хозяйственной деятельности. В состав коммерческих рисков включают финансовые риски (связанные с осуществлением финансовых операций) и производственные риски (связанные с производством продукции (работ, услуг), осуществлением любых видов производственной деятельности). Сюда можно отнести и риски информационной безопасности.
• Профессиональные риски - это риски, связанные с выполнением профессиональных обязанностей, профессиональной безопасности, охраны труда и здоровья и т.д.

Виды рисков по возможности предвидения:

• Прогнозируемые риски - это риски, которые например связаны с циклическим развитием экономики, сменой стадий конъюнктуры финансового рынка, предсказуемым развитием конкуренции и т.п. Предсказуемость рисков носит относительный характер, так как прогнозирование со 100%-ным результатом исключает рассматриваемое явление из категории рисков. Например, инфляционный риск, процентный риск и некоторые другие их виды.
• Непрогнозируемые риски - это риски, отличающиеся полной непредсказуемостью проявления. Например, форс- мажорные риски, налоговый риск и др.

Соответственно этому классификационному признаку риски подразделяются также на регулируемые и нерегулируемые в рамках предприятия.

Виды рисков по источникам возникновения:

• Внешний (систематический или рыночный) риск - это риск, не зависящий от деятельности предприятия. Этот риск возникает при смене отдельных стадий экономического цикла, изменении конъюнктуры финансового рынка и в ряде других случаев, на которые предприятие в своей деятельности повлиять не может. К этой группе рисков могут быть отнесены инфляционный риск, процентный риск, валютный риск, налоговый риск.
• Внутренний (несистематический или специфический) риск - это риск, зависящий от деятельности конкретного предприятия. Он может быть связан с неквалифицированным финансовым менеджментом, неэффективной структурой активов и капитала, чрезмерной приверженностью к рисковым (агрессивным) операциям с высокой нормой прибыли, недооценкой хозяйственных партнёров и другими факторами, отрицательные последствия которых в значительной мере можно предотвратить за счёт эффективного управления рисками.

Виды рисков по размеру возможного ущерба:

• Допустимый риск - это риск, потери по которому не превышают расчётной суммы прибыли по осуществляемой операции.
• Критический риск - это риск, потери по которому не превышают расчётной суммы валового дохода по осуществляемой операции.
• Катастрофический риск - это риск, потери по которому определяются частичной или полной утратой собственного капитала (может сопровождаться утратой заёмного капитала).

Виды рисков по комплексности исследования:

• Простой риск характеризует вид риска, который не расчленяется на отдельные его подвиды. Например, инфляционный риск.
• Сложный риск характеризует вид риска, который состоит из комплекса подвидов. Например, инвестиционный риск (риск инвестиционного проекта и риск конкретного финансового инструмента).

Виды рисков по финансовым последствиям:

• Риск, влекущий только экономические потери, несёт только отрицательные последствия (потеря дохода или капитала).
• Риск, влекущий упущенную выгоду, характеризует ситуацию, когда предприятие в силу сложившихся объективных и субъективных причин не может осуществить запланированную операцию (например, при снижении кредитного рейтинга предприятие не может получить необходимый кредит).
• Риск, влекущий как экономические потери, так и дополнительные доходы («спекулятивный финансовый риск»), присущ, как правило, спекулятивным финансовым операциям (например, риск реализации реального инвестиционного проекта, доходность которого в эксплуатационной стадии может быть ниже или выше расчётного уровня).

Виды рисков по характеру проявления во времени:

• Постоянный риск характерен для всего периода осуществления операции и связан с действием постоянных факторов. Например, процентный риск, валютный риск и т. п.
• Временный риск характеризует риск, носящий перманентный характер, возникающий лишь на отдельных этапах осуществления финансовой операции. Например, риск неплатёжеспособности предприятия.

Виды рисков по возможности страхования:

• Страхуемые риски - это риски, которые могут быть переданы в порядке внешнего страхования соответствующим страховым организациям.
• Нестрахуемые риски - это риски, по которым отсутствует предложение соответствующих страховых продуктов на страховом рынке.

Состав рисков этих рассматриваемых двух групп очень подвижен и связан не только с возможностью их прогнозирования, но и с эффективностью осуществления отдельных видов страховых операций в конкретных экономических условиях при сложившихся формах государственного регулирования страховой деятельности.

Виды рисков по частоте реализации:

• Высокие риски - это риски, для которых характерна высокая частота наступления ущерба.
• Средние риски - это риски, для которых характерна средняя частота нанесения ущерба.
• Малые риски - это риски, для которых характерна малая вероятность наступления ущерба.

2. Общие принципы анализа рисков

Для определения источников риска и его видов необходимо наличие надежного информационного обеспечения. Вся информация о характеристиках отдельных рисков может быть получена из различных источников: разовых и постоянных, официальных и неофициальных, приобретенных и полученных, достоверных и сомнительных, и так далее. В то же время, информация, используемая в риск-менеджменте, должна быть максимально достоверной, полноценной и своевременной. Источниками информации для определения рисков могут быть:

1. Внешние:

• Статистические экономические, политические и демографические данные;
• Прогнозная информация;
• Сведения в СМИ.

2. Внутренние:

• Данные о процессах организации;
• Финансовые данные;
• Материалы ревизий и аудита;
• Данные маркетинговых исследований;
• Личный опыт руководителей организации.

Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный. Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска организации в целом.

Процесс анализа рисков охватывает различные аспекты работы с риском, от идентификации и анализа опасности до оценки допустимости риска и определения потенциальных возможностей снижения риска посредством выбора, реализации и контроля соответствующих управляющих действий.

Анализ риска представляет собой структурированный процесс, целью которого является определение, как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы. В качестве неблагоприятных последствий рассматривается вред и убытки, наносимый людям, имуществу или окружающей среде.

Посредством проведения анализа риска предпринимаются попытки ответить на три основных вопроса:

что угрожает (идентификация опасности);

с какой вероятностью это может произойти (анализ частоты);

каковы последствия этого события (анализ последствий).

Результаты анализа риска могут использоваться руководителями, принимающим решение при оценке допустимости риска, а также при выборе между потенциальными мерами по снижению или устранению риска. С точки зрения принимающего управленческое решение, к основным достоинствам анализа риска относятся:

систематическая идентификация потенциальных опасностей;

систематическая идентификация возможных видов отказов;

количественные оценки и/или качественное ранжирование рисков;

выявление факторов, обуславливающих риск, и слабых звеньев в системе;

более глубокое понимание устройства и функционирования системы;

достижения предпочтительных уровней надежности системы управления;

сопоставление риска исследуемой системы с рисками альтернативных систем или технологий;

идентификация и сопоставление рисков и неопределенностей;

помощь в установлении приоритетов при совершенствовании требований и норм;

формирование базы для рациональной организации профилактического обслуживания, ремонта и контроля;

обеспечение возможности поставарийного расследования и мер по предупреждению аварий;

возможность выбора мер и приемов по обеспечению снижения риска.

Анализ риска является частью оценки риска и процесса управления риском, и состоит из определения области применения, идентификации опасности и оценки величины риска.

Общей задачей анализа риска является обоснование решений, касающихся риска. Эти решения могут приниматься как часть более крупного процесса управления рисками посредством сопоставления результатов анализа риска с критериями допустимого риска.

Анализ рисков должен быть направлен на выявление и устранение, и/или снижение до допустимого уровня риска, угрожающего деятельности организации путем сбалансированное распределение ресурсов и реального контроля рисков и снижения их степени.

Для повышения эффективности и объективности анализа риска и обеспечения сопоставимости с другими результатами по анализу риска необходимо соблюдать следующие общие правила, - процесс анализа риска должен осуществляться в соответствии со следующими этапами:

а) определение области применения;

б) идентификация опасности и предварительная оценка последствий;

в) оценка величины риска;

г) проверка результатов анализа;

д) документальное обоснование;

е) корректировка результатов анализа с учетом последних данных.

Оценка риска включает проведение анализа частот и анализа последствий.

Возможный порядок проведения анализа риска приведен на схеме:

Необходимым требованием анализа и оценки риска является скрупулезное знание системы и используемых методов анализа. В том случае, если имеются результаты анализа риска для похожей системы, они могут быть использованы в качестве справочного материала. При этом необходимо доказать, что процессы являются похожими, и что внесение изменений не вносит существенных различий в результаты. Выводы должны основываться на систематической оценке изменений и на том, каким образом они могут влиять на существующие опасности.

Аналитики, участвующие в анализе риска, должны быть достаточно компетентными. Зачастую анализируемая система слишком сложна для работы одного человека, поэтому для выполнения анализа требуется группа аналитиков.

Аналитики должны знать методы, используемыми для анализа риска и должны располагать достаточными знаниями о системе и ее рисках. При необходимости для проведения анализа должны быть представлены и использованы другие необходимые сведения. Заключение специалистов рабочей группы должно быть документально зафиксировано.

Если анализ риска используется для обеспечения непрерывного процесса управления риском, его необходимо выполнять и документировать таким образом, чтобы он мог корректироваться на протяжении всего жизненного цикла системы или деятельности. Анализ должен обновляться по мере поступления новой информации и в соответствии с потребностями процесса управления.

Для выработки плана анализа риска область применения анализа риска должна быть определена и документально установлена. Определение области применения анализа риска должно включать в себя следующие этапы:

а) Описание оснований и/или проблем, повлекших проведение анализа риска.

Это предусматривает:

формулировку задач анализа риска, основанных на внушающих тревогу идентифицированных потенциальных опасностях;

определение критериев работоспособности/отказа системы.

б) Описание исследуемой системы. Это должно включать в себя:

общее описание системы;

определение границ и областей контакта со смежными системами;

описание условий окружающей среды;

определение рабочих условий и состояний системы, на которые распространяется анализ риска, и соответствующие ограничения.

в) Установление источников, предоставляющих подробную информацию обо всех технических, связанных с окружающей средой, правовых, организационных и человеческих факторах, имеющих отношение к анализируемым действиям и проблеме. В частности, должны быть описаны любые обстоятельства, касающиеся безопасности.

г) Описание используемых предположений и ограничивающих условий при проведении анализа.

д) Разработка формулировок решений, которые могут быть приняты, описание требуемых выходных данных, полученных по результатам исследований и от лиц, принимающих решения.

Задача по определению области применения анализа риска должна предусматривать тщательное ознакомление с анализируемой системой. Одна из целей ознакомления - это определение источников и методов использования специализированной информации.

Элементы процесса оценки величины риска являются общими для всех видов опасности. Прежде всего, анализируются возможные причины опасности с целью определения частоты ее возникновения, продолжительности, а также характера.

В процессе анализа может возникнуть необходимость определения оценки вероятности опасности, вызывающей последствия, и проведения анализов последовательности обуславливающих событий.

3. Качественный анализ рисков

Для решения поставленной задачи должны быть идентифицированы опасности, являющиеся причиной риска, а также пути, по которым эти опасности могут реализовываться.

Известные опасности должны быть четко и точно определены. Для идентификации опасностей, не учитываемых ранее при проведении анализа, должны применяться формальные методы.

Предварительную оценку значения идентифицированных опасностей необходимо выполнять, основываясь на анализе последствий и изучении их основных причин.

Предварительная оценка значения идентифицированных опасностей определяет выбор последующих действий:

а) принятие немедленных мер с целью исключения или уменьшения опасностей;

б) прекращение анализа, поскольку опасности или их последствия являются несущественными;

в) переход к оцениванию риска.

Исходные допущения и результаты должны быть документально зафиксированы.

Идентификация опасности предполагает систематическую проверку исследуемой системы с целью идентификации типа присутствующих неустранимых опасностей и способов их проявления. Статистические записи о действии рисков и опыт предшествующих анализов риска могут обеспечить полезный вклад в процесс идентификации опасности. Следует признать, что существует элемент субъективизма во мнениях об опасностях и что идентифицированные опасности не всегда могут быть в исчерпывающей мере теми опасностями, которые могли бы представлять угрозу для системы. Необходимо, чтобы идентифицированные опасности подвергались пересмотру при поступлении новых данных. Методы идентификации опасности в широком смысле делятся на три категории:

а) сопоставительные методы, примерами которых являются ведомости проверок, индексы опасностей и обзор данных эксплуатации;

б) фундаментальные методы, которые построены таким образом, чтобы стимулировать группу исследователей к использованию прогноза в сочетании с их знаниями по отношению к задаче идентификации опасностей путем постановки ряда вопросов типа «А что, если... ?»;

в) способы индуктивного подхода, такие как логические диаграммы возможных последствий данного события (логические диаграммы «дерева событий»).

С целью усовершенствования идентификации опасности (и возможностей оценки риска) применительно к определенным проблемам могут использоваться другие приемы.

Независимо от применяемых приемов важно, чтобы в общем процессе идентификации опасности должное внимание было уделено тому, что человеческие и организационные ошибки являются существенными факторами во многих аварийных ситуациях. Отсюда следует, что сценарии аварийной ситуации, предусматривающие человеческую и организационную ошибку, также должны быть включены в процесс идентификации опасности, который не должен быть направлен исключительно на технические аспекты.

На практике идентификация опасности, исходящей от конкретной системы, оборудования или деятельности, может давать в качестве результата очень большое число сценариев потенциальных аварий. Детализированный количественный анализ частот и последствий не всегда осуществим. В таких ситуациях может оказаться целесообразным качественное ранжирование сценариев, помещение их в матрицы риска, указывающие различные уровни риска.

Степень угрозы фактора опасности определяет серьезность событий.

Определение угрозы фактора опасности должно включать в себя:

выявление угроз факторов опасности;

анализ угроз факторов опасности;

документирование угроз факторов опасности.

Выявление угроз производится как на основе внешней информации, так и на основе анализа контента организации и ее внешней среды.

Матрица качественной классификации степени угрозы фактора опасности приведена в таблице:

Определение	Значение	Степень
Катастрофический	Потеря бизнеса Многочисленные человеческие жертвы
Опасный	Существенное уменьшение «запаса прочности», не позволяющий гарантировать четкого и полного выполнения организацией своих задач. Серьезные травмы большого количества людей. Крупные финансовые потери.
Значительный	Существенное уменьшение «запаса прочности», снижение способности организации преодолевать неблагоприятные условия как результат повышения рабочей нагрузки или вследствие условий, снижающих эффективность их работы. Серьезный инцидент. Травмы физических лиц.
Незначительный	Помехи. Эксплуатационные ограничения. Использование аварийных процедур. Возможность инцидента.
Ничтожный	Малозначительные последствия

При проведении анализа необходимо снижать, а по возможности исключать субъективность анализа рисков.

Анализ частот используется для оценки вероятности каждого выявленного нежелательного события, установленного на стадии идентификации опасности. Для оценки частот происходящих событий обычно применяются следующие три подхода:

а) использование имеющихся статистических данных (предыстория);

б) получение частот происходящих событий на основе аналитических или имитационных методов;

в) использование мнений экспертов.

Все эти технические приемы могут применяться по отдельности или совместно.

Первые два подхода являются взаимодополняющими, - каждый имеет сильные стороны там, где другой имеет слабые. Повсюду, где это возможно, должны применяться оба подхода. Таким образом, они могут использоваться для взаимных проверок. Это может служить повышению степени достоверности результатов. В тех случаях, когда данные подходы не могут использоваться, либо являются недостаточными, рекомендуется привлекать мнения экспертов.

Целью анализа частот является определение частоты каждого из нежелательных событий или сценариев аварий, выявленных на стадии идентификации опасности. Обычно используются три основных подхода:

а) использование соответствующих данных эксплуатации с целью определения частоты, с которой данные события происходили в прошлом, и, исходя из этого, определение оценок частоты, с которой они могут произойти в будущем. Используемые данные должны соответствовать типу системы, оборудования или деятельности, подлежащих рассмотрению;

б) прогнозирование частот событий с использованием таких технических приемов, как анализ диаграммы всех возможных последствий несрабатывания или аварии системы («дерева неисправностей») и анализ диаграммы возможных последствий данного события («дерева событий»). В том случае, когда статистические данные недоступны или не соответствуют требованиям, необходимо получить частоты событий посредством анализа системы и ее аварийных состояний. Числовые данные для соответствующих событий, в том числе данные о неисправности оборудования и ошибке человека, взятые из опыта эксплуатации или опубликованных данных, используются для определения оценки частоты нежелательных событий. При использовании методов прогнозирования важно обеспечить уверенность в том, что при анализе была учтена возможность нарушений режима работы системы, а также ее частей или компонентов, которые должны функционировать в случае возникновения отказов системы.;

в) использование мнения экспертов. Существует ряд методов для составления экспертного мнения, которые исключают двусмысленность оценок, помогают в постановке соответствующих вопросов.

Вероятность возникновения
Количественное определение	Имеется ввиду
Частое	Может возникать многократно (уже возникало часто)	5
Периодическое	Может возникать время от времени (возникало эпизодически)	4
Редкое	Маловероятно, но может возникнуть (возникало редко)	3
Маловероятное	Очень малая вероятность возникновения (случаи возникновения неизвестны)	2
Почти невозможно	Почти невозможно представить ситуацию, в которой происшествие может возникнуть	1

Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием.

Анализ последствий должен:

а) основываться на выбранных нежелательных событиях;

б) описывать любые последствия, являющиеся результатом нежелательных событий;

в) учитывать существующие меры, направленные на смягчение последствий, наряду со всеми соответствующими условиями, оказывающими влияние на последствия;

г) устанавливать критерии, используемые для полной идентификации последствий;

д) рассматривать и учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного периода времени, если это не противоречит сфере распространения исследований;

е) рассматривать и учитывать вторичные последствия, распространяющиеся на смежное оборудование и системы.

Анализ последствий предусматривает определение результатов воздействия на людей, имущество или окружающую среду в случае наступления нежелательного события. Для расчетов рисков, касающихся безопасности полетов, анализ последствий представляет собой приблизительное определение количества АС в том случае, если произойдет нежелательное событие.

Существует множество методов оценки такого рода явлений, диапазон которых простирается от упрощенных аналитических подходов до очень сложных компьютерных моделей. При использовании методов моделирования необходимо обеспечить соответствие той проблеме, которая подлежит рассмотрению.

При проведении анализа риска необходимо установить, отражает ли полученная оценка риска уровень общего риска или является лишь его частью.

При расчете риска необходимо учитывать как продолжительность нежелательного события, так и вероятность того, что люди будут подвергаться его воздействию.

Возможная Матрица рисков приведена в таблице:

Вероятность возникновения риска	Серьезность риска
	Катастрофическая	Угрожающая	Крупная	Малая	Незначительная
5 – Частая
4 – Эпизодическая
3 – Отдаленная
2 – Невероятная
1 – Почти невозможная

4. Управления рисками

Управление рисками направлено на снижение негативного воздействия рисков.

Для снижения негативного действия рисков могут применяться следующие методы:

Избежание/уклонение – производственная и иная деятельностьотменяется, поскольку риск превышает выгоду от продолжения этой деятельности.

Сокращение – сокращается частота производственной или иной деятельности, или принимаются меры для уменьшения масштаба последствий допущенного/принятого риска.

Изолирование риска – принимаются меры к тому, чтобы локализовать последствия риска или обеспечить резервирование для защиты от него.

Передача риска – передача риска третьим лицам в случаях, когда воздействие на него со стороны организации невозможна или экономически не оправдана, а уровень риска превышает допустимый. Типичный пример передачи рисков – страхование.

Выбор методов управления риском можно рассматривать как проблему оптимизации в условиях ограничений. Критерии выбора могут быть различными, включая финансово-экономические критерии (обеспечение эффективности). Однако при принятии решения о том, какие методы следует использовать, нельзя все сводить к экономической отдаче. Важно учитывать и другие критерии, например, технические (отражающие технологические возможности снижения риска) или социальные (сведение риска к уровню, приемлемому для общества).

Подход к определению приемлемостиконкретных факторов риска предполагает рассмотрение нижеследующих аспектов:

a) Управленческий фактор . Не противоречит ли данный риск политике и стандартам организации в области безопасности?

б) Фактор финансовой возможности . Не выходит ли характер риска за рамки рентабельного решения?

в) Юридический фактор . Не противоречит ли данный риск действующим стандартам регламентирующего полномочного органа и возможностям в сфере обеспечения исполнения?

г) Культурологический фактор . Как персонал организации и другие участники отнесутся к данному риску?

д) Рыночный фактор . Будут ли конкурентоспособность и благосостояние организации в сравнении с другими компаниями поставлены под угрозу из-за непринятия мер по уменьшению или устранению данного риска?

е) Политический фактор . Придется ли организации заплатить политическую цену в связи с непринятием мер по уменьшению или устранению данного риска?

ж) Общественный фактор . Насколько большое влияние окажут СМИ или особо заинтересованные группы на общественное мнение в связи с данным риском?

Для управления рисками надо учитывать что:

Система управления рисками является частью общего менеджмента организации;

Особенности управления рисками требуют специализированных знаний при принятии решений для их управления;

При управлении риском необходимо учитывать имеющиеся внешние и внутренние ограничения организации;

В отношении всех рисков должна проводиться единая политика, что требует комплексного и одновременного управления всеми рисками организации;

Процесс управления рисками носит непрерывный динамический характер.

Более подробный разбор действий по управлению рисками требует отдельной статьи, как и количественный анализ рисков.

Залогом выживаемости и основой стабильного положении предприятия служит его устойчивость. Различают общую, ценовую, финансовую и др. виды устойчивости. Финансовая устойчивость является главным компонентом общей устойчивости предприятия. Финансовая устойчивость предприятия - это такое состояние его финансовых ресурсов, их перераспределения и использования, когда обеспечиваются развитие предприятия на основе собственной прибыли и рост капитала при сохранении его платежеспособности и кредитоспособности в условиях допустимого уровня финансового риска.

Цель управления финансовым риском - снижение потерь, связанных с этим риском, до минимума. Потери могут быть оценены в денежном выражении, оцениваются также шаги по их предотвращению. Финансовый менеджер должен уравновесить эти две оценки и спланировать, как лучше заключить сделку с позиции минимизации риска.

В зависимости от объекта воздействия методы защиты от финансовых рисков могут быть классифицированы на два вида: физическую и экономическую защиту. Физическая защита заключается в создании таких средств, как сигнализация, приобретение сейфов, системы контроля качества продукции, защита данных от несанкционированного доступа, наем охраны и т.д.

Экономическая защита заключается в прогнозировании уровня дополнительных затрат, оценке тяжести возможного ущерба, использовании всего финансового механизма для ликвидации угрозы риска или его последствий.

Рассмотрим некоторые аспекты организации работ по управлению рисками, прежде всего, финансовыми.

Методы управления финансовым риском

В литературе приводятся четыре метода управления риском : упразднение, предотвращение потерь и контроль, страхование, поглощение.

Упразднение заключается в отказе от совершения рискового мероприятия. Но для финансового предпринимательства упразднение риска обычно упраздняет и прибыль.

Предотвращение потерь и контроль как метод управления финансовым риском означает определенный набор превентивных и последующих действий, которые обусловлены необходимостью предотвратить негативные последствия, уберечься от случайностей, контролировать их масштаб, если потери уже понесены или неизбежны.

Сущность страхования выражается в том, что инвестор готов (отказаться от части доходов, лишь бы избежать риска, т.е. он готов заплатить за снижение риска до нуля.

Для страхования характерны целевое назначение создаваемого денежного фонда, расходование его ресурсов лишь на покрытие потерь в заранее оговоренных случаях; вероятностный характер отношений; возвратность средств. Страхование как метод управления риском означает два вида действий:

1) перераспределение потерь среди группы предпринимателей, подвергшихся однотипному риску (самострахование);

2) обращение за помощью к страховой фирме.

Крупные фирмы обычно прибегают к самострахованию, т.е. процессу, при котором организация, часто подвергающаяся однотипному риску, заранее откладывает средства, из которых в результате покрывает убытки. Тем самым можно избежать дорогостоящей сделки со страховой фирмой.

Когда же используют страхование как услугу кредитного рынка, то это обязывает финансового менеджера определить приемлемое для него соотношение между страховой премией и страховой суммой. Страховая премия - это плата за страховой риск страхователя страховщику. Страховая сумма - это денежная сумма, на которую застрахованы материальные ценности или ответственность страхователя.

Поглощение состоит в признании ущерба и отказе от его страхования. К поглощению прибегают, когда сумма предполагаемого ущерба незначительно мала и ею можно пренебречь.

При выборе конкретного средства разрешения финансового риска инвестор должен исходить из следующих принципов:

нельзя рисковать больше, чем это может позволить собственный капитал;

нельзя рисковать многим ради малого;

следует предугадывать последствия риска.

Применение на практике этих принципов означает, что всегда необходимо рассчитать максимально возможный убыток по данно­му виду риска, потом сопоставить его с объемом капитала предприятия, подвергаемого данному риску, и затем сопоставить весь возможный убыток с общим объемом собственных финансовых ресурсов. И только сделав последний шаг, можно определить, не приве­дет ли данный риск к банкротству предприятия.

Процесс управления риском

Процесс управления риском может быть разбит на шесть стадий :

определения цели,

выяснения риска,

оценки риска,

выбора методов управления риском,

применения выбранного метода,

оценки результатов.

С точки зрения финансового риска определение цели сводится к обеспечению существования фирмы в случае существенных убытков.

В качестве цели могут фигурировать защита работы предприятия от условий внешней среды или оптимизация внутренней среды. В качестве внешней среды предприятия рассматривают дне группы факторов: прямого и косвенного воздействия.

К факторам прямого воздействия относят поставщиков, покупателей, конкурентов, государство. К факторам косвенного воздействия относят состояние экономики, социокультурные факторы, политические факторы, достижения НТР, международные события.

К положительным факторам внутренней среды относят наличие специальной службы «экономической безопасности», системы «экономического предупреждения», которая предотвращает не непредусмотренные расходы.

Следующий шаг - выяснение риска при помощи сбора различной информации и использования официальных и неофициальных каналов. Кроме данных финансовой отчетности и бизнес-планов к официальным источникам информации относят информацию, полученную из периодической печати, радио, телевидения и т.п. К неофициальной информации относят данные, полученные! при помощи промышленного шпионажа.

Анализ (оценка) риска. После того как убыток уже понесен, следующим шагом должно быть определение его серьезности.

Выбор методов управления риском. В соответствии с результатами предыдущих исследований выбирается тот или иной метод управления риском. Возможна также комбинация из нескольких методов.

Применение выбранного метода - принятие конкретных шагов по применению того или иного метода. Например , если избрано страхование, то этот шаг заключается в покупке страхового полиса. При этом выбираются разные страховые компании в зависимости от их специализации в области страховых рисков, далее выбирается оптимальная по времени и цене и обеспечению форма страхового полиса.

Кроме страхования стратегия управления любым риском включает программу предотвращения и контроля убытков. В этом участвует каждая функция финансового менеджмента: планирование, организация, руководство и контроль.

Рассмотрим, например , роль планирования как функцию менеджмента применительно к управлению финансовыми рисками. Один из элементов внутрифирменного планирования - бизнес-план, в структуре которого имеется раздел «Оценка рисков».

Этот раздел бизнес-плана представляет инструмент управления рисками предприятия. Важно предугадать все возможные типы рисков, с которыми может столкнуться предприниматель, обосно­вать источники этих рисков и все возможные моменты их возник­новения. Раздел нацелен на исследование не только финансовых, по и других рисков (например, политических, законодательных, природных (стихийные бедствия) и др.). Раздел бизнес-плана «Финансовый план» представляет собой денежное выражение всех расчетов, содержащихся в предыдущих разделах бизнес-плана. Все риски, представленные в разделе «Оценка рисков», находят в финансовом плане свое денежное выражение и влияют на общую сте­пень финансового риска. Ниже мы приведем некоторые типичные расчеты, которые осуществляются при составлении этого раздела бизнес-плана.

Применение лимитирования в отношении показателей финансовых ресурсов бюджета предприятия - конкретное выражение результатов планирования рисков. Лимитирование - это установление лимита, т.е. предельных сумм расходов, продаж, кредита и т.п. Лимитирование служит важным средством снижения степени риска и применяется, например, банками при выдаче ссуд, а предприятиями сферы обращения - при продаже товаров в кредит и т.д.

Организационная функция финансового менеджмента и управление рисками. Многие крупные фирмы содержат на службе, специалистов по безопасности. Эти менеджеры планируют стратегию управления риском фирмы, заключают договоры по страхованию, направляют усилия фирмы на контроль за убытками. Их функции выходят за рамки простого страхования. Они, например, даю: консультации, как уберечь страховые платежи от инфляции, выбирают способы избежания убытков. В фирмах среднего масштаба, где нет специалиста по безопасности, к функциям финансового менеджера (финансового директора) относят и обязанность управления финансовыми рисками, поэтому именно они и должны планировать методы управления финансовыми и особенно инвестиционными рисками. В мелких фирмах - это одна из функций владельца.

Контрольная функция менеджмента и управление рисками.

Управление предотвращением убытков во многом аналогично управлению производительностью и качеством. Речь идет о руководстве в форме действий, а не о словесном воздействии в соответствии с общей теорией менеджмента, которая построена на доверии и обязательствах руководства по отношению к служащим, заключении контракта с профсоюзом (поскольку безопасность сотрудников первична для профсоюзов). Концепция же финансового менеджмента базируемся на «недоверчивости к собственным сотрудникам» и «ограниченном доверии» к внутренней финансовой информации (из этого вытекают важнейшие принципы построении системы внутреннего финансового контроля).

Следующий (и последний) шаг в процессе управления финансовым риском - оценка результатов . Для этого необходима хорошо отлаженная система точной информации, дающая возможность рассмотреть имеющиеся убытки и сами действия, осуществляемые для их предотвращения.

Иногда инвестор принимает решения, когда результаты неопре­деленны и основаны на ограниченной информации. Естественно, при более полной информации можно сделать лучший прогноз и снизить риск. В этом случае полезная информация выступает в качестве товара. Стоимость полной информации рассчитывается как разница между ожидаемой стоимостью какого-нибудь приобретения, когда имеется полная информация, и ожидаемой стоимостью, когда информация неполная. Назначение анализа риска как одного из самых сложных этапов управления финансовыми рисками - в необходимости предоставить потенциальным партнерам данные для принятия решений о целесообразности участия в проекте и возможности предусмотреть меры по защите от финансовых потерь.

При проведении анализа рисков, прежде всего надо определить их источники и причины, какие из них являются основными, преобладающими. Источниками рисков могут быть хозяйственная деятельность, личность человека, природные факторы. К причинам относятся недостаток информации, неопределенность будущего, непредсказуемость поведения делового партнера.

Анализ рисков подразделяют на два взаимно дополняющих друг друга вида: качественный и количественный.

Качественный анализ представляет собой идентификацию всех возможных рисков. Качественный анализ может быть сравнительно простым, его главная задача - определить факторы риска, этапы работы, при выполнении которых риск возникает, и т.д.

Проводя анализ риска, следует определить степень риска. Риск может быть:

допустимым - имеется угроза полной потери прибыли от реализации планируемого проекта;

критическим - возможны непоступление не только прибыли, но и выручки и покрытие убытков за счет средств предпринимателя;

катастрофическим - возможны потеря капитала, имущества и банкротство предпринимателя.

Количественный анализ - это определение конкретного денежного ущерба отдельных подвидов финансового риска и финансово­го риска в совокупности.

Иногда качественный и количественный анализы проводятся на основе оценки влияния внутренних и внешних факторов: осуществляются поэлементная оценка удельного веса их влияния на работу данного предприятия и ее денежное выражение. Такой метод анализа достаточно трудоемок с точки зрения количественного анализа, но приносит свои несомненные плоды при качественном анализе. В связи с этим следует больше внимания уделять методам количественного анализа финансового риска, поскольку их немало и для их грамотного применения необходим определенный управленческий навык.

В абсолютном выражении риск может определяться масштабом возможных потерь в материально-вещественном (физическом) или стоимостном (денежном) выражении.

В относительном выражении риск определяется как возможные потери, отнесенные к некоторой базе, за которую наиболее удобно принимать либо имущественное состояние предприятия, либо общие затраты на данный вид предпринимательской деятельности.

Под наш неусыпный взгляд попала, деятельность по управлению и анализ рисков, которую мы используем в своей профессиональной деятельности. За прошедшее, с нашего последнего рандеву времени, мы успели подготовить следующую статью.

Продолжение следует, прямо сейчас…
Сегодня мы поговорим о деятельности по управлению рисками.

Введение

Деятельность по управлению рисками, как каждая комплексная деятельность - это сложный итерационный процесс, который имеет свои стадии, цели и задачи. Любая стадия имеет свое назначение, «берет»/«получает» на вход своей деятельности данные, определенные «преддеятельностью» и на выходе формирует конечный/промежуточный результат.

Риск-менеджмент можно верхнеуровневого определить следующей последовательностью этапов:

1. Идентификация риска;
2. Оценка вероятности его наступления и масштаба последствий, которые могут возникнуть;
3. Предварительный анализ и определение максимально-возможных убытков;
4. Выбор методов и инструментов управления выявленным риском;
5. Разработка риск-стратегии для снижения вероятности реализации риска и минимизации возможных негативных последствий;
6. Реализация риск-стратегии;
7. Оценка достигнутых результатов и корректировка риск-стратегии;
8. Мониторинг проблемных областей.

Отраженная последовательность этапов является всего лишь отдаленным представлением рассматриваемой активности, и будет в дальнейшем детализирована и экспертно расширенна. К примеру, представленная в данном плане «риск-стратегия» - это всего лишь набор определенных взаимосвязанных процессов и документов, которые отражают суть всех или некоторых этапов риск-менеджмента.

Управление рисками, как было сказано в первой статье, это довольно молодая отрасль деятельности, в актуальном понимании её целей и задач. Она изучает степень влияния на различные сферы, процессы и т.д., как основные, так и косвенные/смежные, определенных событий, которые влекут за собой наступление различных видов ущерба или прибыли, и то, как ей можно управлять или, в крайнем случае, направлять или контролировать.

Управление и анализ рисков – это отдельная область, имеющая четко определенное отношение к ИТ. Но при этом, данное направление работ было бы некорректно называть наукой, а вполне правильно говорить о методологии, которая обладает собственным понятийным аппаратом, классификацией, видами анализа и т.д.

С представленной точки зрения, основной отличительной чертой данной методологии является терминология. Она представляет собой смесь между такими активностями, как информационные технологии, техника, инженерия, теория машин и механизмов, страховое дело и биржевое дело и т.п. Существование подобной «химеры» сложилось исторически, в соответствии с развитием риск-менеджмента и требует от специалиста, приобщенной к данной профессиональной области, широкого кругозора и разностороннего понимания не только «примерной» сути предмета, но и его деталей, а иначе профессионал рискует остаться за бортом понимания происходящего, что нивелирует его участие в данном процессе.

За каждым термином, которые будут приведены далее в этой статье, скрывается определенный смысл и история развития исходный причин и следствий, которые приобрели своё право на существование благодаря тому, что их важность и постоянная актуальность была подтверждена временем и обоснованностью получаемых результатов, таких как успех или ущерб.

Таким образом, чтобы грамотно управлять и направлять развитие рисков, ведь результатом риска может быть не только урон, но и эффективный результат, необходимо подробнейшим образом разбираться в их категориях, классификациях и типах. Уникальность каждого риска состоит в том, что причины их порождающие, зависят от таких факторов, как тип активности, в которой они проявляются, окружение процесса или события, вид технологии и т.д.

Несмотря на то, что нами было объявлено, что управление и анализ рисков это скорее методология, чем отдельное научное направление в области информационных технологий, важность восприятия и понимания фундаментальных основ, которые имеют свое непосредственное отношение к, казалось бы, совсем не ИТ дисциплинам, это одно из составляющих успеха в овладении и применении знаний по риск-менеджменту в практической деятельности.

Определение основных понятий

Для того, чтобы говорить с Вами, уважаемые коллеги, на одном языке (ведь мы уже поняли насколько это важно), языке рисковой деятельности, необходимо сразу договориться о тех терминах, которые необходимо знать, для успешного освоения и применении на практики знаний риск-менеджмента.

С одной стороны, в силу специфики изучаемого предмета, рано говорить об устоявшейся терминологии в управлении рисками, применительно к информационным технологиям. Безусловно, данная объективная ситуация связана с разнообразием видов риска, которые являются объектом рассмотрения нашей дисциплины. Но нам необходимо очертить рамки наших исследований, а иначе мы с Вами рискуем (да, да, именно так:)) думать о разных вещах.

Определения риска было дано нами в первой статье, здесь же, для формирования полной картины изучаемого предмета, и всестороннего взгляда на довольно сложное понятие, мы приведем его еще раз:

Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.

Учитывая комплексность и многообразие дисциплин, которые «наполняют» риск-менеджмент, целесообразно привести альтернативное понятие риска, приведенное в одном из финансово-инвестиционных учебников:

Риск-событие или группа родственных случайных событий, наносящих ущерб объекту, обладающим данным риском.

Приведенное «финансовое» определение риска обязывает нас расшифровать понятия, которые входят в него:

• Случайность (многие люди ассоциируют понятие случайности и непредсказуемости, что является не совсем верным) наступления события означает невозможность определить время и место его возникновения.
• Объект – материальный объект или интерес, свойство объекта.
• Ущерб – ухудшение или потеря свойств объекта.
• Вероятность события – это признак события, означающий возможность рассчитать частоту наступления события при наличии достаточного количества статистических данных.

Таким образом, риск, как самостоятельное событие, или часть более крупного события обладает двумя наиболее важными, с точки зрения управления рисками свойствами – вероятностью и ущербом.

Каждое событие порождается определенной причиной или набором причин. Такие причины принято называть инцидентами. Цепочка последовательных этапов, которые приводят от первоначального инцидента, к конечному событию – это сценарий развития. Зная те вероятности, которые привели к возникновению инцидентов, можно установить последовательность промежуточных шагов и рассчитать вероятности реализации сценария. Определяющим фактором освоения риск – менеджмента в информационных технологиях является способность одновременно анализировать, учитывать и синтезировать при рассмотрении конкретной ситуации или сценария три следующих домена:

• Домен риска
• Домен менеджмента
• Домен информационных технологий

Именно способность одновременно взаимосвязывать эти, казалось бы, абсолютно разные по своей природе предметы гуманитарного и технического характера способствует успеху в освоении и практическом применении области управления анализа рисков. Способность понимать и распознавать инциденты, относящиеся к различным «природам» возникновения и навык построения сценариев, различные стадий и шаги которых относятся к разным доменам, это важная характеристика высококлассного специалиста в риск-менеджменте.

Управление рисками на примере современных методик

На сегодняшний день многие популярные и основополагающие ИТ методологии из таких направлений как управление проектами (PMBOK), аналитика (BABOK), ИТ-аудит (COBIT), сервисная деятельность (ITIL), разработка программного обеспечения (MOF) и т.д., пытаются предоставить инструмент, который смог бы предложить эффективный алгоритм управления и анализа рисков. Таким «инструментарием» различных направлений деятельности домена информационных технологий являются следующие методы: CORAS, OCTAVE, CRAMM, MOF risk management, Risk it и т.д. Представленные процессы являются основными по востребованности и использованию, поэтому мы рассмотрим их все и попробуем разобраться в специфики каждого.

Краткий обзор методологий управления ИТ-рисками:

CORAS

Была разработана в рамках западной программы «Технологии информационного общества». Цель данной методологии состоит в адаптации, уточнении и комбинировании таких основных методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.

CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management.

В CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а с нескольких сторон, точнее как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений.

OCTAVE

Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги-Меллона (альма-матер многих современных ИТ-методологий и направления програмной инженерии) и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.

Ключевые элементы OCTAVE:

• идентификация информационных активов подверженных риску и ущербу;
• идентификация угроз для критичных информационных активов;
• определение уязвимостей, ассоциированных с критичными информационными активами;
• оценка рисков, связанных с критичными информационными активами.

OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.

OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.

CRAMM

Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по превентивным мерам, позволяющим снизить/устранить воздействие рискам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер.

Модель управления рисками стандарта MOF (MOF Risk Model)

Эта методология заслуживает отдельного упоминания. Мы посвятим ей чуть больше материала и Вашего времени.

Она является самой распространенной на данный момент времени и определяет основные этапы управления рисками, которым в дальнейшем будет посвящена отдельная статья (мы на это очень рассчитываем), но которые мы упомянем и здесь:

• Идентификация рисков - определение причин риска, условий его возникновения, последствий;
• Анализ рисков - оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса;
• Планирование мероприятий - определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние. Также тут разрабатывается план действий в случае возникновения риска;
• Отслеживание риска - сбор информации об изменениях, с течением определенного промежутка времени, различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния
• Контроль (Control) - выполнение запланированных действий в качестве реакции на возникновение рискового события.

Если рассмотреть модель управления рисками в отрыве от стандартов, где она используется (ITIL, MOF, и т.д.), то можно увидеть относительно неглубокое, но фундаментальное представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II (упомянутая в первой статье) – подробнее описывает вопросы организации системы управления рисками в компании.

COBIT 5 for Risk (RiskIT)

Этот стандарт рассматривает подход к управлению рисками с двух аспектов: risk function и risk management.

В первом случае говорится о том, что нужно иметь в организации, чтобы построить и поддерживать систему управления рисками. Во втором мы рассматриваем ключевые процессы руководства и управления для оптимизации рисков и регулярные процедуры для идентификации, анализа, реагирования и отчетности по рискам.

Как Вам уже стало понятно, в ИТ области нет единого и централизованного взгляда на управление рисками. Множественность стандартов и методик вызвана, прежде всего, спецификой анализа и управления рисками в применении, к определенным отраслям и ресурсам, которые могут быть затрачены на их воплощение в жизнь. Но каждая из описанных методик имеет право «быть» только по тому, что они доказали свою состоятельность не только в качестве «книжных» значений, но и как конкретный и эффективный инструмент деятельности. Все из вышеприведенных методик решают, по сути, однотипные проблемы, вызванные похожими причинами и направленные на то, чтобы минимизировать ущерб от наступления риска или устранить его в принципе, но «заточены» по разные виды организаций и процессы, в которых планируется устранять или минимизировать риски. Из изложенных методов наиболее универсальным, без сомнения является MOF, которые с той или иной степенью адаптации может быть использован в любом типе активности, а вот остальные являются, по большей части, специализированными инструментами, требующими разного степени внимания и разных ресурсов. При желании, каждый из Вас может в «глобальной паутине» найти более подробную информацию об изложенных методах.

Актуальность деятельности по работе с рисками на сегодняшний день

На сегодняшний день информационные технологии предоставляют разнообразный инструментарий для поддержки и развития любого типа специальной деятельности, независимо от её специфики и других характеристик, будь это узконаправленный тип электронного бизнеса, сфера образования или общеиспользуемый вид хозяйственных услуг.

Высокие технологии позволяют повысить эффективность уже существующих процессов, стать фундаментом для создания новых, но при этом, при условии их неуправляемого использования, становятся источником возникновения колоссальных рисков, которые, в случае «наложения», могут быть источниками многих «эмерджентных» результатов. Общеизвестный факт, что к деятельности по работе с рисками, в большинстве стран, особо плачевное состояние в данном направлении наблюдается и в РФ, относятся, как к ненужной избыточности, которая в последнее направление стала «модным» направлением деятельности, которому необходимо «как бы» следовать в силу многих факторов. Но реалии современных условий таковы, что при сохраняющихся темпах развития современного мира (прогнозируется что эти темпы будут только расти) предусмотреть, выявить и зафиксировать полный спектр возможных проблем для ИС (наиболее динамично изменяющаяся отрасль) практически не возможно, в не зависимости от того, какой именно тип работ выполняется: внедрение новых программных продуктов и комплексов, поддержка и развитие уже существующих или вывод из эксплуатации устаревших с последующим процессом миграции критически значимой для конкретной организации информации. В таком окружении вид деятельности, который направлен на проактивную и превентивную активность в разрезе решения/недопущения/устранения и т.д. возникающих задач и проблем становится особо важным. Таким видом деятельности и является направление анализа и управления рисками, что подтверждается активным ростом базы стандартов и методик, в которых полностью или частично рассматривается работы с рисками. Для примера можно привести следующие методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и т.д.

Общие причины рисков

В основе любой конструктивной деятельности заключено ясное понимание целей, задач и ресурсов, которые необходимы для достижения конечного результата.

Чем более определенными и однозначными являются эти факторы, тем ниже степень неопределенности, которая потенциально может повлиять на достижимость поставленной цели. На основе этого абсолютно очевидно, что главной причиной любого риска является степень неопределенности, которая заложена в тех постулатах, которые являются рамками процесса или проекта, инициирующими рассматриваемую нами активность. То, насколько очевидными являются наши проблемы и те ресурсы, которые выделены для их решения, определяет рискованность нашей деятельности. Неопределенные задачи, априори, обречены на то, что возможность составления и реализации жизнеспособного плана по их разрешению является «тычком» пальцем в «никуда».

Более высокая неопределенность условий как внешней, так и внутренней среды приводит к тому, что ресурсы, выделяемые на преодоление этих условий, должны быть как можно более качественные. Многие негативные факторы и причины можно предвидеть и «искоренять» основываясь только на опыте специалистов, имеющих высокие навыки по работе с рисками, но это вряд ли можно считать прогнозируемым фактором, который нужно использовать при построении системы риск-менеджмента. Проблема «ограниченности» ресурсов – это проблема, которая приводит к возникновению дефицита продуктивности.

При реализации проектов, которые имеют высокую степень неопределенности, необходимо уделять повышенное внимание общеиспользуемой системе анализа и управления рисками. Такая система должна учитывать специфику, как деятельности, в которой происходят процессы, связанные с рисками, так и организационную составляющую проекта и организации, в которой он выполняется.

Организационная составляющая и внимание, которое уделяется работе с рисками это отдельная тема и направление деятельности, которому, к сожалению, в России отводится мизерные затраты. Примером этому может являться то, что во многих руководящих документах не рассматриваются аспект рисков в принципе, их допустимый уровень и ответственность за принятие определенного уровня рисков.

В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority –это лицо, уполномоченное принять решение о допустимости определенного уровня рисков, что свидетельствует о качественно ином отношении к анализу и управлению рисками, к которому в нашей стране, конечно со временем придут, но затратив для этого множество бесполезных ресурсов.

Вовлеченность всех работниках на всех уровнях структурной иерархии любого предприятия в деятельность по анализу рисков и более пристальное отношение со стороны руководства, смогли бы коренным образом изменить, годами складывающиеся, пессимистичные тенденции в данной области и тем самым вывести основные процессы ИТ отрасли на качественно иной уровень.

Ясное понимание целей и задач осуществляемой деятельности помогают выявлять и минимизировать подавляющее число причин, которые приводят к возникновению рисков.

Цели и задачи управления рисками

В основе деятельности по анализу и управлению рисками должно находиться явное, определенное и однозначное видение того, зачем необходимо данному, конкретному субъекту анализировать риски и управлять ими. Без четко намеченного плана (в идеальной ситуации, появившегося из стратегии развития) оценить и правильно идентифицировать информационные риски очень сложно, а порой даже невозможно. Успешность этих деятельностей будет зависеть только от квалификации обслуживающего их персонала, которая обсуждалась чуть ранее. Необходимо отметить отсутствие единого взгляда и стандарта/порядка/регламента, который смог бы описать и предложить путь решения всех явных и потенциальных проблем.

Каждая ситуация, каждый процесс состоит из множества элементарных объектов. Эти составляющие необходимо подвергнуть процедуре анализа. Подробность рассмотрения конкретной частицы зависит от величины вклада рассматриваемого объекта в результат деятельности.

Чем более сложные и многогранные процессы мы рассматриваем, тем более важным является детальная предварительная проработка сферы деятельности, методологии, в которой может возникнуть риск и применение лучших практик и методов, признанных и апробированных ранее в работе над ними.

Понимание целей помогает осознанно контролировать все рассматриваемые процессы, понимая заданный тренд и допустимые отклонения в его «пути».

Основная цель в активности анализа рисков – это предоставление наиболее полной и достаточной информации для адекватного управления рисками.

Под управлением более правильно понимать не «управление», как конкретную функцию менеджмента, но как саму дисциплину «менеджмент», которая заключает в себе 5 процессов:

• Управление
• Инициирование
• Планирование
• Выполнение
• Мониторинг и контроль

Процесс совершенствования, который получает в последнее время наиболее бурное развитие благодаря распространению процессного подхода к организации деятельности, рассматривать здесь не вполне корректно. Причина этого в том, что рисковая составляющая должна «гаситься» со временем проведения процессов анализа и управления.

Активность анализа подразумевает под собой выполнение части активности совершенствования за счет того, что своевременно выстроенная система метрик основных «ущербных» составляющих процесса или проекта на этапе мониторинга и контроля, позволит существенно сократить затраты на эту составляющую и направить их в более конструктивное русло.

Итогом стадии анализа является исчерпывающие количественные и качественные данные, поступающие на «вход» стадии управления. Результатом этой стадии является без рисковый или «подконтрольнорисковый» результат.

Воплотить на практике вышеприденные тезисы будет возможно в том случае, когда каждый субъект, задействованные и взаимодействующий с объектом, подверженному риску, осознает важность и необходимость своей вовлеченности в работу с рисками, появление которых, пусть даже гипотетически, возможно.

Понимание и участие в управлении анализа рисками и своевременная эскалация возникающих проблем и задач, на всех иерархических ступенях любой организации, позволит добиваться поставленных целей.

После того, как цели и задачи установлены, приняты и однозначно понимаются всеми участниками, следующей ступенью при работе с рисками является их идентификация (в планах следующая статья будет посвящена именно идентификации рисков). Базисом процесса идентификации является категорийная база, которая является инструментом для отнесения риска к той или иному классу или группе категорий рисков. «Помещение» риска в правильную категорию является залогом того, что в дальнейшем, работа по обработке доступной информации о нем и выработка дальнейшего алгоритма работы над ним, позволит устранить или уменьшить величину ущерба от его появления.

Классификация и категории рисков

На текущий момент развития области рисков в информационных технологиях уместно говорить о множественной типизации рисков. Отрасли информационных технологий присущ набор рисков, который наиболее характерен для рисков, связанных с высокотехнологичной и комплексной деятельностью, включающей в себя различные виды процессов. Набор рисков, характерный для определенного вида деятельности, называется комплексом рисков.

Когда речь заходит о комплексе, то, если использовать техническую терминологию, можно констатировать, что комплекс рисков является «взаимно пересекающим множеством» между всеми существующими комплексами рисков. Несмотря на рекурсивность получающегося определения, оно наиболее четко выражает сущность понятия комплекс рисков.

Комплексы рисков являются характерной составляющей для промышленности, финансовой и инвестиционных областей, коммерции, сферы кредитования и, конечно же, области информационных технологий. Таким образом, чем более сложный и комплексный вид деятельности, находящийся на «стыке» различных практических и теоретических областей, мы рассматриваем, тем более сложными и многогранными будут риски.

Информационные риски, возникающие в процессах и проектах, отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, на способ их анализа и методы первичного и последующих описаний.

Как правило, все виды рисков взаимосвязаны и эмерджентны, поэтому оказывают влияния на осуществляемую деятельность не только сами по себе, а и в совокупности.

Изменение одного вида риска может вызывать изменение большинства остальных, находящихся в определенном комплексе. Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Наиболее важными элементами, положенными в основу классификации рисков, являются:

• время возникновения;
• характер;
• факторы возникновения;
• последствия;
• и др.

По времени возникновения риски распределяются на ретроспективные (прошлые), текущие и перспективные (будущие) риски.

Анализ ретроспективных рисков, их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски, предсказывать возможную природу их появления и, соответственно, управлять ей.

По характеру риски делятся на:

• Внешние риски . К ним относятся риски, непосредственно не связанные с деятельностью предприятия или взаимодействующим с ним окружением (деятельность поставщиков, смежных компаний, внешних разработчиков, аутсорсинговые и консалтинговые компании, партнеры и т.д.).
• Внутренние риски . К ним относятся риски, обусловленные деятельностью самого предприятия и составляющей его аудитории (риски связанные с квалификацией персонала, ИТ инфраструктурой, используемых технологий и т.д.).
• Организационные риски (ОР) . ОР - это риски, связанные с ошибками менеджмента компании, ее сотрудников; проблемами системы внутреннего контроля, плохо разработанными правилами работ, то есть риски, связанные с внутренней организацией работы компании.
• Процессные риски (ПР). . ПР – это под раздел организационных рисков. Данный тип рисков характерен для отдельных видов процессов. Они связаны, как с выполнением отдельного процесса, так и с процессами, деятельность которых взаимосвязана функциями, которые они осуществляют (кросс-процессы).
• Проектные риски (ПРР) . ПРР – это риски, характеризующие степень опасности для успешного осуществления проекта в целом или его отдельных этапов.
• Операционные риски (ОПР). . ОПР – это риски, связанные с выполнением организацией определенных бизнес-операций.

Сложно не заметить, что классификация по фактору возникновения представляет собой «матрешку». Вложенность факторов соответствует распределению пунктов в процессной модели любой компании, при этом, каждый из рассмотренных групп рисков имеет «внутренние» классификации, которые могут быть декомпозированы и расширены до уровня, необходимого для отслеживания и контроля за определенным видом риска.

По последствиям риски подразделяются на:

• Чистые риски (иногда их еще называют простые или статические) характеризуются тем, что они практически всегда несут в себе потери для предпринимательской деятельности. Причинами чистых рисков могут быть стихийные бедствия, войны, несчастные случаи, преступные действия, недееспособности организации и др.
• Спекулятивные риски (иногда их еще называют динамическими или коммерческими) характеризуются тем, что могут нести в себе как потери, так и дополнительную прибыль для предпринимателя по отношению к ожидаемому результату. Причинами спекулятивных рисков могут быть изменение конъюнктуры рынка, изменение курсов валют, изменение налогового законодательства и т.д.

Говоря о последствиях возникновения рисков, нужно выделить отдельную классификацию по степени последствий возникновения рисков. Эта «подклассификация» является очень важной для принятия решений по осуществимости той или иной деятельности, связанной с рисками:

• Допустимый риск. Это риск решения, в результате неосуществления которого возможно «недостижение» поставленной цели деятельности. В пределах этой зоны деятельность сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой ценности.
• Критический риск. Это риск, при котором возможна потеря всей или части ценности результата; т.е. зона критического риска характеризуется опасностью потерь, которые заведомо превышают возможный результат и, в крайнем случае, могут привести к потере всех средств, вложенных в проект.
• Катастрофический риск. Это риск, при котором возникает полная потеря ценности и возможно, что субъект риска понесет дополнительные затраты. Также к этой группе относят любой риск, связанный с прямой опасностью для жизни или дальнейшей деятельности людей.

Успех при отнесении риска к тому или иному пункту данной классификации, напрямую зависит от многих факторов, для полноты взглядов можно выделить 2 из них:

• Количественная степень изученности и определенности конкретного вида рисков
• Квалификация, навык, опыт, «предвидение» риск-менеджера, принимающего решение по осуществлению деятельности, подверженной рискам.

Если, речь идет только о втором факторе, то, как отмечалось ранее, сложно говорить о том, что на предприятии выстроена качественная система по работе с рисками.

Успешность деятельности такой организации зависит только от конкретных специалистов, которые представляют собой «организацию в организации». Как правило, при уходе подобных специалистов, риск-менеджмент предприятия подвергается полному краху. Без четко выстроенной системы, в основу которой положена процессная модель с постоянным измерением результата деятельности, по заданным метрикам успешности, в современном мире высоких технологий, результат будет достичь довольно сложно. Но об этом чуть позже, в специально отведенной для этого статье.

Подводя итоги темы классификации рисков, надо упомянуть о том, что приведенные здесь классификация не претендует на полноту и достаточность. В любой активности, возможно появление рисков, которые несут на себе отпечаток и результаты специфичной деятельности конкретного предприятия. Проявление в них рисков, возможно и уникальны, единичны или присутствуют в групповых случаях, зависящих от конкретного окружения и четко определенных параметров деятельности, отдельно взятой организации. Такие риски должны быть рассмотрены отдельно, в соответствии с системой по анализу и управлению рисками, спроектированной под нужды данного конкретного предприятия.

Перед тем, как осуществлять классификацию рисков, необходимо правильно выявить оценить и понять предпосылки, которые могут привести к появлению или проявлению риска. Стадия анализа рисков, которая позволяет провести подобную активность – это идентификация риска. От того, насколько правильно и дальновидно проведена идентификация риска зависит верность выбранного метода по работе и минимизации дальнейшего возможного или явного ущерба.

Выводы

Мы завершили краткое саммэри в направление по анализу и управлению рисков, кратко очертив границы данной деятельности. Здесь мы постарались конспективно ознакомить коллег с многообразием видов, типов и составленной на их основе классификации рисков, возникновению которых, в сущности, как было нами показано, способствует, в большинстве случаев, неопределенность начальных условий или ресурсов.

В дальнейшем мы приступим к подробному рассмотрению предваряющей стадии анализа рисков – процессу их идентификации и связанных с ним методов и методологий.

Желаем коллегам совершенствования в работе с/над ИТ- рисками.

Всего доброго и до встречи!

Понижение уровня их действия представляют приоритетное направление менеджмента организации в условиях влияния разнообразных обстоятельств на работу компании.

Принципы системы по управлению рисками

Выстраивание системы для управления угрожающими и проблемными ситуациями основывается на некоторых принципах:

1. Комплексности, при которой предусматривается взаимодействие всех подразделений предприятия для определения и оценки угроз по видам и направлениям деятельности.
2. Непрерывности. Постоянное наблюдение и контролирование рисков важны в условиях изменяющихся ситуаций и условий работы в организации, появления новых типов угроз, в отношении которых требуются контроль и анализ развития.
3. Интеграции. Оценка интегрального риска обеспечивает взвешенную оценку влияния на коммерческую деятельность полного набора потенциальных рисков с учетом их взаимосвязей (изменение стоимости товара, проблемы с контрагентами, налоговые запреты, техногенные аварии).

Приемы и методы управления

Методы управления рисками отличаются разнообразием, обусловленным многочисленными вариантами ведения предпринимательской деятельности, но их можно объединить в несколько однородных групп.

Приемами и средствами для разрешения проблемных ситуаций, применяемыми на предприятии, считаются методы:

1. Избегания риска, при котором имеет место отказ от мероприятий и процессов, которые могут стать причиной более существенных проблем (реализация проблемного актива, уход с рынка, отказ от работы в проекте с неясным результатом). Консервативный метод не имеет широкой востребованности, поскольку в результате получается потеря выгоды из-за отказа от исполнения некоторой деятельности.
2. Удержания риска, связанный с самострахованием (переводом на себя риска) путем создания резервов для покрытия потенциальных потерь (убытков).
3. Передачи риска в форме:
   • аутсорсинга (передачи компанией функций непрофильного типа сторонним организациям), позволяющего снизить уровень проблемы за счет уменьшения расходов по переданным видам работ и повысить эффективность работ в целом;
   • страхования, при котором заключаются договора со страховыми организациями, покрывающими риски за счет выплаты возмещения при страховой ситуации;
   • или страхования от неблагоприятного колебания состояния на рынке в виде указания в договоре жестких критериев по проводимой сделке (по цене на продукцию, курсу приобретения валюты).
4. Уменьшения риска. Предприятие не избегает угрожающей ситуации, а пребывает в зоне ее действия и пытается влиять на ее купирование, используя диверсификацию деятельности, формирование провизий (резервов), установление ограничений (по производственным циклам).

Выявленные проблемы анализируются с количественных и качественных позиций по шансам на их появление и величине потенциального ущерба. После чего определяется степень толерантности для организации, то есть максимальный размер ущерба (наибольший риск), который в силах понести предприятие в конкретный момент. По мере развития организации и в зависимости от ее стратегических направлений указанный показатель следует постоянно пересматривать.

Выбирая метод, направленный на понижение степени угрозы, важно выдерживать оптимальное соотношение между предельными расходами для реализации идеи и их соответствием предельной выгодности. В реальности чаще придерживаются критерия наименьших затрат для понижения уровня угрозы до приемлемого показателя.

Внимание! Инструменты, применяемые при управлении рисками, имеют разную эффективность. Поэтому на практике используют комбинации указанных инструментов, отдавая предпочтение более выгодным в каждый конкретный момент деятельности.

Управления рисками на предприятии

Определяя конкретное направление и способы для разрешения проблемы, предприятие должно придерживаться соблюдения следующих условий:

• управление рисками должно сочетаться с корпоративной стратегией, принятой в организации;
• для решения проблемы опасны действия в пределах, превышающих размер собственного капитала;
• неразумно подвергать угрозе многое ради сомнительного выигрыша в незначительном;
• важен тщательный анализ для предугадывания возможных последствий проблемы;
• принятый вариант должен быть экономически обоснованным, основанным на достоверной информации и не оказывающим отрицательного действия на итоговые показатели хозяйственного функционирования предприятия;
• принимаемые решения должны основываться на учете объективных показателей сферы, где ведется деятельность предприятия.

Управление рисками начинается с выяснения целей. Для этого используются методы, сочетающие прогнозирование возможностей и потребностей организации и анализ рынка, конъюнктуры, планов развития бизнеса.

На основе полученных сведений разрабатываются экономико-математические модели функционирования организации, проводится анализ полученных статистических данных по качественным и количественным параметрам. На конечном этапе в ходе сопоставления действенности различных вариантов развития и методов действия выбирается оптимальный набор мер для управления рисками.

Важно! Итоговые показатели, формируемые на определенном этапе исследования и управления, используются в качестве начальной информации для следующих аналогичных процедур, образуя непрерывную и поступательную систему по принятию решений. Подобная организация процесса позволяет своевременно корректировать комплекс применяемых методов воздействия на проблемы, обеспечивая тем самым максимальный эффект в достижении производственных целей организации.

Служба риск-менеджмента на предприятии

В начальный период дополнение структуры организации системой по управлению рисками включает создание подразделения риск-менеджмента, выявления его места в организационной структуре предприятия, обязанностей и прав работников.

В качестве главных функций указанного подразделения в организации следует выделить:

• определение и анализ типа угрозы, оценку ее вероятности и размеров;
• разработку и внедрение мер для предупреждения и минимизации рисков;
• выработку механизмов ликвидации последствий (убытков) и восстановление предприятия (кризисное регулирование).

Получая необходимую для анализа информацию о текущем состоянии и прошлых периодах работы, служба риск-менеджмента производит реальную оценку динамики показателей работы предприятия при постоянном влиянии разного вида факторов внутри и извне (экономических, политических).

В ходе анализа определяются потенциальные зоны рисков, сопутствующих работам в организации, прогнозируются потенциальные выгоды и негативные изменения от воздействия выявленных проблемных факторов.

Использование конкретного метода для анализа связано с рядом факторов:

• для каждого типа рассматриваемого риска действенны определенные методы анализа и особенности их проведения;
• значимая роль в анализе отводится величине и качеству исходных показателей (данных);
• для результатов анализа чрезвычайно важен учет динамики именно показателей, воздействующих на степень угрозы;
• выбор метода для ведения анализа должен производиться с учетом доступности прошлых периодов по используемым данным и дальности периода прогнозирования показателей, действующих на изменения риска;
• имеют значение элемент срочности и технические условия для выполнения анализа;
• должны учитываться указания контролирующих органов государства по формированию отчетных сведений по рискам.

Итогом разностороннего анализа служит вероятностный прогноз рыночной конъюнктуры с учетом возникновения ряда рисков.

Продолжением аналитической работы соответствующего подразделения выступает создание программы мер и процедур по управлению вероятностными угрозами, учитывающей:

• вероятность и сумму потенциального ущерба;
• имеющиеся и предлагаемые службой механизмы по понижения угрозы и их эффективность;
• практическую возможность по реальному выполнению мероприятий с учетом имеющегося лимита ресурсов;
• соответствие принимаемых к внедрению мероприятий действующим нормативным актам и планам по развитию предприятия.

Подготовленная программа в обязательном порядке проходит утверждение руководством компании и учитывается при подготовке финансовых и производственных планов организации.

Важно! При реализации утвержденных мероприятий подразделение риск-менеджмента должно проводить непрерывный анализ эффективности исполняемых мероприятий, а при необходимости использовать меры для корректировки процедур и минимизации угроз.

При исполнении утвержденного комплекса мер следует накапливать всю информацию о недостатках и сбоях в программе, возникающих в ходе работы, с передачей в службу менеджмента. Данный подход на базе использования возникающей новой информации обеспечивает разработку следующих программ по уменьшению угроз на более высоком качественном уровне.

Результат управления рисками — это гарантия качества вашей продукции, соблюдения нормативных требований, получения стабильной прибыли, а значит - гарантия нашей стабильности.

Управление рисками возникает при потребность в принятии сложных решений. Оценивать риски необходимо на этапах разработки продукта, при изучении целесообразности внесения изменений, при расследовании отклонений, для организации рабочего пространства или при принятии решения о возможности совмещения схемы производства разных препаратов и т.п., то есть там, где есть, проблема выбора из нескольких вариантов и нет однозначных нормативных требований.

Процесс управления рисками - это источник требований. Правила – это программа минимизации известных рисков, связанных с производством. Предотвращение перекрестного загрязнения, перепутывания или подмены, правила гигиены и допуска персонала к самостоятельной работе, выбор стратегии контроля качества и поддержание системы качества – все это лишь несколько классических примеров из области управления рисками.

Многие руководители считают, что они видят полную картину своих процессов и интуитивно чувствуют риски для качества выпускаемой продукции. Профессиональные, талантливые менеджеры обладают потрясающей интуицией, только она не врожденная. Ее нежно развивать и усиливать, используя методологию управления рисками. Интуиция – это подсознательный анализ различных вариантов развития тех или иных событий. Хорошая интуиция – это «стихийная» оценка рисков в голове отдельно взятого человека «что может случиться?», «если это случится, какие будут последствия?» и «из-за чего это может произойти»? А осознанное применение процесса управления рисками – объективная корпоративная культура, слабо зависящая от субъективных факторов. Более того, это тиражируемая и легко распространяемая технология.

Выявление рисков для качества и их оценка сами по себе не приносят результата. Результат управления рисками заключается в выборе и реализации стратегии контроля значимых рисков. Задача в принятии правильных, сбалансированных решений. Возможно рискованных, но осознанных.

Риски для качества продукции – это риски для потребителя. Безопасность основана на современных подходах к управлению рисками. Единственный способ обеспечить безопасность – это внедрить эффективную систему управления рисками для качества. Это элемент ответственности перед обществом. Безопасность не означает отсутствие опасности. Безопасное состояние – это когда производитель уверен в том, какие опасные события могут произойти и какое влияние они окажут на качество работы, продукции и, как следствие, на потребителя. Безопасность заключается не в запретах, замках и колючей проволоке, а в разработке эффективных процедур, призванных эту безопасность обеспечить. Если не будет возможности предотвратить опасность, то как минимум возникает возможность подготовиться, заранее продумать меры по предотвращению и преодолению их последствий.

Опасности измеряются рисками. Риски различаются по значимости. Для того чтобы понять, какие риски требуют особого внимания, необходимо адекватно их оценить. Не изучая природу возможных рисков, не определяя объем отсутствующей информации, нет возможности понять, из-за чего тот или иной риск может реализоваться, и, соответственно, вряд ли удастся снизить вероятность его наступления. Рисками нужно управлять систематически и профессионально. Это неотъемлемая и необходимая компетенция любого руководителя любого уровня на любом предприятии.

Управление рисками – это всего лишь броское название и невероятно вредная технология, применимая только «кабинетными» людьми. Персонал любого подразделения можно разделить на две категории: руководители и исполнители. Исполнители выполняют работы, исходя из установленных требований. Руководители же устанавливают требования к выполнению таких работ с учетом законодательных норм, прописывают алгоритмы и создают условия, в последующем контролируя качество их исполнения. В большинстве случаев исполнителю оценка рисков не нужна. Она нужна руководителям. Нужна там и тогда, где и когда они вынуждены принимать важные и сложные решения в условиях неопределенности, например: нет законодательных требований или эти требования изложены без конкретных алгоритмов их реализации, или есть несколько вариантов реализации и при этом нет уверенности какой из вариантов выбрать. Руководители несут ответственность не только за результаты своей работы, но и за результаты работы исполнителя. Чем выше неуверенность, вызванная неопределенностью, тем выше ответственность за последствия реализации принимаемого решения. На основании того, как руководитель управляет рисками, можно делать вывод о его профессионализме. Если руководитель умело применяет эту методологию, он производит впечатление человека проницательного, с замечательной логикой и интуицией. Именно эти качества развивает технология управления рисками. К тому же, такой руководитель понимает причинно-следственную связь, что ошибка исполнителя часто вызвана халатностью его руководителя, которая проявляется в том, что он не до конца оценил все возможные угрозы.

Часто мы оказываемся в ситуациях, когда сложно или страшно, принимать решение, когда возникает ощущение неопределенности и непредсказуемости в отношении того, как наше решение повлияет на качество продукта, а значит на безопасность клиента. И тогда может показаться, что риски – это то, что от нас не зависит. Или наоборот, самонадеянно полагаться на то, что риск полностью исключен, но это не так. Любое отклонение, сбой в работе инженерной системы или оборудования, поступившая претензия, сигнал – это реализовавшийся риск. Можно не регистрировать отклонения и возникающие проблемы, тем самым подтверждая надежность своих процессов, но это фарс, риски есть и будут. Главное – вовремя увидеть угрозы и просчитать «непредвиденные обстоятельства», при которых они могут реализоваться, понять, что можно сделать, чтобы этого не случилось и что делать, если это все же произойдет. Сделать максимум и быть готовым к любому развитию событий.

Если вы находитесь в сложной ситуации, вам необходимо понимать возможные угрозы и их последствия, просчитывать заранее, каким образом действовать при том или ином развитии событий, быть готовым ко всему. Управление рисками улучшает предсказуемость и определенность. Это честно заработанное чувство уверенности. Это, безусловно, подход, обеспечивающий достаточную защиту потребителя, которая, в свою очередь, не мешает получению прибыли и не замедляет развитие предприятия.

Основные принципы управления рисками для качества изложены в руководящих указаниях. Необходимость управления рисками заявляется в различных руководящих указаниях, издаваемых регуляторными агентствами, профессиональными сообществами (например, ISPE, PDA, IEST) и организациями здравоохранения по всему миру. В основу предложенной методологии положены знания и опыт, накопленные в разных странах. Модель процесса управления рисками, представленная в руководящих указаниях, проста в применении и, главное, ориентирована на практическое использование.

В управлении рисками, как и в любой технологии, нюансов и деталей достаточно. Для корректного ее использования, необходимо создать внутренние стандарты и процедуры, провести обучение руководителей и вовлекаемых экспертов, осуществлять постоянный надзор за качеством проводимой оценки.

Попытки исключить технологию управления рисками из процесса принятия эффективных решений недопустимы. Оценка риска должна основываться на современных научных достижениях, на известных фактах и с учетом накопленной экспериментальной базы и т.п.

Все пробелы в знаниях и данных необходимо отнести к отдельной категории риска, так называемой «отсутствующей информации». Так же нельзя возводить методологию управления рисками в статус «нормативного требования». Техника принятия решений по определению не может быть нормативным требованием. Управление рисками не направлено на обход нормативных требований так же, как управление рисками не является прямым нормативным требованием. Правила декларируют необходимость управления рисками только для того, чтобы подчеркнуть их первостепенное значение и взаимосвязь с системой качества и правилами надлежащего производства и контроля качества. Необходимость проведения оценки рисков возникает в следующих ситуациях:

• Если в ходе расследования отклонения невозможно установить истинную причину его возникновения (Часть 1, 1.4 (xiv)). В такой ситуации необходимо выбрать наиболее вероятную причину с помощью дедуктивных или индуктивных методов управления рисками.
• Для создания программы предотвращения перекрестного загрязнения (Часть 1, 5.18, 5.19).
• При организации процессов упаковки (Часть 1, 5.44).
• При принятии решений по возможности переработки или повторной обработки некондиционной продукции (Часть 1, 5.62, 5.63).
• При принятии решения о возможности возобновления товарного оборота всей или части возвращенной продукции (часть 1, 5.65).
• При обосновании объема валидационных работ (Приложение 15).

Когда возникает потребность в принятии сложных решений, не вступающих в конфликт с нормативными требованиями, от эффективности принимаемых руководителем управленческих решений зависят успешное функционирование и выживаемость предприятия. Учитывать нужно и тот факт, что помимо очевидных преимуществ процесс управления рисками имеет серьезные недостатки:

Преимущества:

- Повышение уверенности в принимаемых решениях
- Устранение конфликта интересов
- Сохранение знаний и логики принимаемых решений
- Неформальный процесс передачи знаний
- Улучшение исполнительской дисциплины

Недостатки:

- Большая трата времени
- Отвлечение специалистов от прямых рутинных обязанностей
- Принятие поверхностных решений
- Манипулирование сознанием
- Самообман

Постановка задачи – исключать только риски, которые обозначены в нормативных документах не верна. Нормативные документы – это некое усредненное восприятие известных рисков. На каждом производстве своя специфика, свои процессы, и нормативные требования ее не учитывают.

Также не стоит задача управлять всеми рисками. Не нужно стремиться к тотальному контролю. Необходимо определять наиболее опасные риски и разрабатывать адекватные и своевременные меры управления ими. Даже не в самой масштабной оценке можно выявить десятки, даже сотни, самых разнообразных рисков. Такое количество рисков может привести в замешательство любого специалиста, поскольку непонятно, что с ними делать и за что браться в первую очередь. Конечно, устранить все риски хорошо, но чаще всего сделать это невозможно. Наши ресурсы, как и денежные средства, всегда ограничены, соответственно мы вынуждены выбирать приоритеты. Интуитивно понятно, некоторые риски требуют первоочередных решений, а отдельные вообще нам не интересны. Для определения приоритетных действий необходимо установить элементы риска – уровень его воздействия и вероятность реализации. Если опасность реализуется, она может оказывать разное воздействие, которое во многом определяет тяжесть риска. Так же, как оценка вероятности наступления того или иного негативного события может сообщить нам о многом. Знание того, с какой вероятностью может реализоваться та или иная опасность, предопределяет восприятие безопасности.

По определению, риск – это сочетание вероятности реализации той или иной опасности и тяжести наносимого ею вреда. Используя два критерия оценки риска, речь не идет об усреднении риска. Вероятность учитывается для того, чтобы отсечь невероятные, нереальные события. Учитывая вероятность приоритеты расставляются исходя из уровня их воздействия. Аксиома управления рисками – тяжесть вреда имеет больший приоритет над вероятностью.

Рассмотрим пример, с самолетом используя пятибалльную шкалу (от 1 до 5), ошибкой можно считать неправильную градацию риска при использовании количественной оценки:

Неопасное событие - опоздание прибытия самолета (тяжесть вреда равна 1), но часто повторяемое (вероятность равна 5).

Опасное событие - авиакатастрофа (тяжесть вреда равна 5), но крайне редкое (вероятность равна 1).

Перемножение весовых коэффициентов дает одну и ту же цифру 5, но при этом не уравнивает их значимости. Первое событие – это незначительный риск, а второе событие может ранжироваться как значимый риск (из-за того, что коэффициент тяжести вреда превышает некий заданный порог, например, 2), а значит потребует пристального внимания и разработки программы контроля такого риска, обеспечивая постоянный мониторинг ее эффективности. Программа контроля риска может быть разной – от одного действия до отдельного комплексного плана.

Внедрение процесса управления рисками в повседневную жизнь предприятия не требует инвестиций и не подразумевает внедрения каких-то сложных систем и моделей. Достаточно сделать несколько шагов, всего пять.

Первый шаг – необходимо видеть и четко определять опасности (угрозы). Часто это делается бессознательно - эмпирически. Этого недостаточно. Полностью определить риски означает учесть все его параметры.

Второй шаг – нужно научиться создавать профили рисков, то есть систематически определять все риски, присущие объекту нашей оценки. Это то, что называется протоколом оценки рисков. Должен быть документ, в котором все риски определены. Важно, управлять рисками «точечно».

Задача третьего шага в том, чтобы определять, с какими рисками нужно работать в первую очередь. Для этого нужно уметь анализировать риски, уметь расставлять приоритеты.

Для успешной реализации четвертого шага нужно уметь выбирать и реализовывать стратегии управления значимыми рисками. Важно понимать, какие конкретные действия необходимо совершить, чтобы больше получить и/или меньше потерять.

И наконец, пятый шаг – создавать оптимальную «подушку» безопасности, то есть разрабатывать план действий на случай, если тот или иной риск реализуется. Задача этого шага – уметь подготовиться к любому развитию событий и всегда иметь план «Б».

Это базовые шаги, применимые в любой ситуации, в любом бизнесе и на любом уровне иерархии предприятия. Международный стандарт ISO 31000 нашел свое применение в большинстве стран мира.

Сегодня для внедрения процесса управления рисками в практику, накоплена серьезная методологическая база, которая активно развивалась с 1960-х. Известно более 100 методов оценки рисков. В руководящих указаниях ISO 31000 описан 31 метод, в жизни их еще больше. Однако это не означает, что необходимо использовать каждый. Нужно подобрать те инструменты оценки рисков, с которыми Вы можете работать и которым Вы будете доверять. Главное, чтобы они были Вам понятны.

Вывод.

Чтобы научиться профессионально управлять рисками, нужно «набить руку» и накопить определенный опыт - это требует усилий и времени. Сначала в большей степени, потом – в меньшей. Главное - начать постепенно внедрять технологию управления рисками в свою работу. Для ее применения абсолютно не нужно выделять какой-то особенный день, ждать какого-то события или настроения. Управляя рисками, мы обеспечиваем качество своей работы и, наоборот, – обеспечивая качество, мы управляем рисками. Результат управления рисками – это гарантия качества Вашей продукции, гарантия соблюдения нормативных требований, гарантия стабильной прибыли, а значит – гарантия нашей стабильности.