В чем заключается задача управления информационными рисками
Управление ИТ-рисками.
Система управления рисками
Система управления рисками
Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была выпускающим редактором журнала Intelligent Enterprise.
Система управления рисками
Современный подход к управлению рисками рассматривает эту деятельность как непрерывный процесс, в котором риски регулярно выявляют и анализируют, измеряют, ищут способы работы с ними и оценивают эффективность уже принятых мер. Сам процесс управления рисками несложен и сводится к следующему простому алгоритму:
Но одного процесса недостаточно; современный подход к управлению предполагает, что перед запуском процесса управления рисками необходимо определить принципы и сформировать концепцию, то есть определить рамки, в которых происходит управление рисками. Поэтому в общем виде система управления рисками состоит из трёх основных уровней (рис. 2).
Стратегический уровень — выработка принципов управления рисками. На этом уровне определяют рамки управления рисками, формируют культуру управления рисками и проактивной оценки рисков перед принятием решений, постоянно изучают и анализируют влияние рисков на текущее и будущее состояние организации, определяют приемлемые уровни рисков, а также принципы управления изменениями и противодействия рискам. Кроме того, на данном этапе определяется уровень рисков, которые организация готова принять, то есть толерантность к риску. Читайте также про схемы работы эквайринга.
Тактический уровень — система управления рисками. На этом уровне происходит общее руководство процессами управления рисками, их создание и постоянное совершенствование, а также выбор конкретных методов управления ИТ-рисками. Чтобы обеспечить эффективность управления рисками, топ-менеджмент организации должен:
На этом уровне принимаются концепция (или политика) и план управления рисками.
Концепция управления рисками — формализация решений высшего руководства предприятия об общих намерениях, основных принципах и направлениях деятельности в области управления рисками. Концепция управления рисками должна в полной мере отражать цели и приоритеты организации в области риск-менеджмента и фиксировать обязательства по постоянному управлению рисками и улучшению этой деятельности.
В общем случае концепция управления рисками должна:
План управления рисками — краткое схематичное описание деятельности и мероприятий в области управления рисками, определение основных отвественных и ресурсов, применяемых для управления рисками.
Кроме того, необходимо продвигать культуру осведомленности о рисках и работы с ними, расширяя возможности предприятия по управлению рисками. Эта деятельность также относится к тактическому уровню.
Оперативный уровнь — процесс управления рисками. Здесь происходит основная работа с рисками: идентификация, анализ, определение степени влияния и выработки мер реагирования, а также мониторинг ключевых целей и показателей процессов управления рисками. Риски оценивают с двух точек зрения — вероятность возникновения и степень влияния. На протяжении всего процесса менеджеры коммуницируют с заинтересованными сторонами, анализируют риск и применяют инструменты управления, которые уменьшают вероятность и последствия риска. Кроме того, анализируют причины отклонений от целевых показателей, инициируют корректирующие меры по устранению этих причин и информируют руководство компании о рисках.
Cогласно стандарту FERMA 2002 система управления рисками строится несколько проще (рис. 3). В ней стратегический (выработка принципов управления рисками) и тактический (работа с системой управления рисками) уровни вынесены за рамки, но присутствуют все основные элементы процесса управления рисками.
Не так важно какого подхода вы будете придерживаться в реальной работе. Главное — системный подход к управлению рисками. Практика управления рисками в тех или иных областях может развиваться на предприятии в течение длительного времени, однако только постановка процессов управления рисками в рамках комплексной системы гарантирует системный эффект, чтобы все риски предприятия обрабатывались эффективно, рационально и последовательно.
Рис. 3. Система управления рисками по стандарту FERMA 2002.
Ограничения управления рисками
Управление рисками возможно отнюдь не в любой ситуации. Исходя из определения риска, управлять им можно только в том случае, если в компании существует:
Такие условия складываются не всегда: не всегда можно более-менее обоснованно определить величину возможных негативных последствий и уж тем более совсем не всегда есть время и ресурсы для противодействия рискам. В этих случаях управление рисками теряет смысл и должно быть заменено другими подходами, например, управлением в кризисной ситуации.
Система управления ИТ-рисками
ИТ-риск — это вероятность возникновения события, связанного с применением информационных технологий, которое окажет отрицательное воздействие на достижение поставленных целей.
К сожалению, вопрос выбора методологии управления ИТ-рисками в каждом конкретном случае — дело сложное, его нельзя свести к кратким советам.
Ожидаемые результаты деятельности по управлению ИТ-рисками как составной части комплексной системы управления ИТ:
В следующей части статьи мы перейдём к описанию опыта управления рисками в ходе ИТ-проекта внедрения комплексной системы управления.
Построение системы управления рисками: как обезопасить свой бизнес
Вопросы, рассмотренные в материале:
Управление рисками — это многоступенчатый комплекс последовательных действий, направленных на выявление, оценку и снижение возможных негативных последствий и потерь во время и после реализации проекта. Основной целью управления рисками является эффективное использование капитала и максимизация дохода. Построение системы управления рисками имеет приоритетное значение для развития успешного бизнеса.
В чем смысл построения системы управления рисками
Построение системы управления рисками в организации позволяет нейтрализовать или свести к минимуму вероятность возникновения неблагоприятного результата деятельности и снизить убытки предприятия.
Риск-менеджмент — это система, направленная на управление риском. Она включает в себя ряд стратегических, тактических, проектных и оперативно-производственных мероприятий. Системный и целенаправленный подходы обеспечивают высокую управленческую функциональность менеджмента. Для реализации поставленных задач и достижения цели используются все методы эффективного руководства предприятием: перераспределение финансов, логистика, учет, анализ продаж и т.д. Комплексная антирисковая система обеспечивает возможность:
Функциональная неопределенность плохо коррелирует с масштабами деятельности. Системный и оперативный менеджменты, организованные на крупных предприятиях, намного эффективнее, чем методы опытного исследования, которые активно используются руководством небольших фирм. В маленьких компаниях резко увеличивается себестоимость управления, повышается количество факторов риска. Поэтому одним из наиболее важных условий эффективной деятельности является построение системы управления рисками на предприятии любой величины. Особое значение имеет системность антикризисных мер.
Непосредственными объектами контроля являются неблагоприятные события и экономические отношения на их фоне, а также рисковые инвестиции. Управленческие субъекты рассматриваются в двух аспектах: в широком смысле — это весь коллектив компании, включая руководство, а в узком смысле — это специально уполномоченные менеджеры, сотрудники и подразделения предприятия. В ситуации риска управленческие цели и задачи должны быть неразрывно связаны со всеми стадиями развития компании.
Топ-3 статей, которые будут полезны каждому руководителю:
10 нюансов построения системы управления рисками
Особенности построения системы управления рисками в России
Современные реалии в России осложняют процесс построения, внедрения и реализации системы управления рисками на небольших предприятиях. Развитие риск-менеджмента возможно только в крупных и средних по величине компаниях, где регулярно разрабатываются элементы антирисковой программы. И если в странах Запада преобладают системные, комплексные и многофакторные подходы к построению системы управления рисками в корпорации, то российский риск-менеджмент развивается поэтапно и чаще всего обусловлен остро назревшей потребностью, например, экологическими или техногенными обстоятельствами, которые влияют на качество грузоперевозок и могут привести к убыточности предприятия.
Построение российской системы управления рисками (СУР) происходит по-другому. Историческое зарождение института СУР началось в компании. Постепенно антирисковая система расширяла свою функциональность за счет добавления в нее новых элементов и «опций». В компаниях со структурой олигополии или монополии, на предприятиях с привлечением иностранного капитала, как правило, реализуется западный подход формирования СУР. Но в отечественном бизнесе не всегда соблюдается комплексный метод, внедрение СУР происходит по индивидуальному уникальному алгоритму. Это объясняется определенными причинами:
Чтобы понять и оценить практическую значимость СУР, достаточно проанализировать статистику потерь от непредвиденных ситуаций за несколько последних лет, а затем отследить динамику убыточности. Для этого следует произвести расчеты: из показателя снижения убытков вычесть расходы на внедрение СУР. Такое несложное вычисление, положенное в основу KPI для руководителей подразделений и риск-менеджеров, позволяет оценить эффективность построения системы управления рисками в компании.
СУР — это не единственный компонент, который на регулярной основе необходимо включать в систему менеджмента российских предприятий. Для построения и развития СУР потребуется время и определенные усилия. Но международная практика уже доказала эффективность антирисковых систем управления. Современные реалии подтверждают необходимость разработки отечественной методики, подобной COSO. Для ее создания можно использовать зарубежный опыт и национальные стандарты. Владельцам бизнеса рекомендуется не бояться экспериментов и смело внедрять КСУР в систему менеджмента предприятия.
Что именно оценивает система управления рисками
Временной период оценки рисков определяется специалистами подразделения экономической безопасности компании. Руководству ежеквартально предоставляются риск-отчеты.
Оценка финансовых рисков (валютных, процентных, ликвидности) выполняется с помощью методики сценарного моделирования. Имитируется стоимость риск-объектов с применением функциональной зависимости их цены от значений риск-факторов: курсов валют, рыночных процентных ставок, котировок ценных бумаг, прайса услуг компании. Итоговый результат оценки выражается возможными отклонениями сметы риск-объекта организации от запланированного в бюджете показателя.
Оценка кредитных рисков отдельных заемщиков и кредитного портфеля компании выполняется с учетом количественных факторов кредитоспособности и качественных показателей. Составляется прогноз кредитного качества заемщиков и рисков, связанного с невыполнением обязательств перед компанией (задержкой платежей, неполным погашением долга). Такой анализ делается с целью выявления возможных убытков по всем операциям прямого и косвенного кредитования.
Оценка риска ликвидности выполняется для прогнозирования неблагоприятного влияния различных факторов (курса валют, процентных ставок, темпов роста инфляции, стоимости услуг компании, потери ключевых бизнес-партнеров, рыночной концентрации, результативности системы управления ликвидностью, эффективности бюджетирования и кассового планирования) на ликвидность предприятия. Конечным результатом является сценарий возможных разрывов ликвидности, которые при возникновении неблагоприятной ситуации свидетельствуют о том, что организация не может мобилизовать финансовые ресурсы на приемлемых условиях для того, чтобы обеспечить свои обязательства при отсутствии сбалансированности структуры активов и пассивов.
Оценка деловых рисков заключается в составлении прогноза изменения стоимости риск-объектов от значений риск-факторов: планируемой клиентской базы, объема потребления продукции и услуг компании.
Финансовый директор через определенный промежуток времени проводит стресс-тестинг и бэк-тестинг расчетных моделей, которые используются для оценки.
Построенная система управления рисками оценивает отрицательные последствия внешней среды в части политических и налоговых рисков.
1. Оцениваются неблагоприятные изменения во внутренней системе Российской Федерации и угрозы, связанные с международными событиями.
2. Результатом оценки нежелательных политических рисков являются возможные преобразования количественных показателей риск-объектов вследствие происходящих событий в политике.
3. Прогноз налоговых рисков основывается на вероятных изменениях экономической и политической ситуаций в России и странах, принимающих участие в инвестиционных проектах компании. К негативным последствиям относятся: усиление налоговой нагрузки, введение налоговых санкций, изменение таможенных пошлин, появление новых административных барьеров. В оценку операционных рисков входит составление прогноза функционирования организационной, производственной, коммерческой, техногенной структуры и работы персонала.
4. Для оценивания неблагоприятных изменений организационной структуры выполняется построение проективной таблицы целей компании на ее организационную структуру. Такой подход позволяет проанализировать, насколько цели и задачи структурных подразделений и высшего руководства предприятия соответствуют его стратегическим целям и задачам.
5. Основные факторы производственных рисков:
6. Основные факторы коммерческих рисков:
7. При планировании техногенных рисков эксперты изучают и анализируют условия эксплуатации и надежности, показатели избыточной нагрузки технических средств. Они прогнозируют объективную возможность возникновения внезапной аварийной ситуации, предсказывают ее масштабы, сценарий развития и негативные последствия, рассчитывают убытки, которые может понести компания.
8. Прогноз рисков персонала основывается на показателях, которые отражают эффективность деятельности организации и ее отдельных работников.
Как происходит управление разными типами рисков
Финансовый директор компании вместе с подразделением, ответственным за построение системы управления рисками в корпорации, разрабатывает несколько наиболее результативных стратегических вариантов СУР. Для каждой разновидности стратегии прогнозируется величина снижения отрицательного воздействия, рассчитывается экономическая эффективность и затраты на проведение антирисковых мероприятий. Все варианты утверждаются Генеральным директором компании. Далее антирисковые мероприятия, одобренные руководителем предприятия, включаются в финансово-хозяйственный план компании, который тоже утверждается в установленном порядке. Коммерческий директор обеспечивает реализацию запланированных действий и контроль исполнения принятых управленческих решений.
Построение и реализация СУР основывается на двустороннем и дифференцированном подходе. Такой подход при осуществлении СУР предполагает:
Процесс воздействия на риск-объекты и риск-факторы на стадии принятия управленческих решений осуществляется для спрогнозированных неблагоприятных событий, убытки от которых заранее рассчитаны.
Дифференцированный подход к риск-менеджменту заключается в возможности выбора наиболее эффективного способа для управления непредвиденной ситуацией в зависимости от ее вида.
Выбор того или иного метода управления осуществляется финансовым директором компании и подразделением, ответственным за построение системы управления рисками. За методическое руководство отвечает отдел экономической безопасности предприятия.
Мероприятия финансового риск-менеджмента:
Финансовый риск-менеджмент осуществляет коммерческий директор.
Мероприятия кредитного риск-менеджмента:
Кредитный риск-менеджмент осуществляет финансовый директор компании.
Мероприятия риск-менеджмента ликвидности:
Риск-менеджмент ликвидности осуществляет финансовый директор предприятия.
Операционный риск-менеджмент реализуется в сегменте структурно-организационных, производственных, коммерческих, техногенных рисков и возможных потерь по вине персонала.
Риск-менеджмент организационной структуры включает в себя исключение дублирования ролей подразделений, заполнение функциональной пустоты, снижение финансовых затрат и повышение коэффициента эффективности организационной структуры, контроль соответствия целям и задачам компании. Риск-менеджмент организационной структуры осуществляется отделом, ответственным за построение системы управления рисками, совместно с руководителями соответствующих бизнес-процессов, координируется финансовым директором предприятия.
Для эффективного управления производственными процессами и исключения вероятности убытков необходимо учитывать агрегированный характер риска.
Производственный риск-менеджмент осуществляется подразделением, ответственным за построение СУР компании, совместно с руководителями соответствующих процессов, координируется директором по производству.
Риск-менеджмент коммерческих процессов осуществляется по нескольким направлениям:
Риск-менеджмент коммерческих процессов выполняется подразделением, ответственным за построение системы управления рисками, совместно с руководителями соответствующих процессов, координируется исполнительным директором компании.
Выбор наиболее эффективных методов управления техногенными рисками осуществляется с учетом стоимости их реализации и экономической результативности. Например, расширение технических мощностей, обучение работников позволят снизить предсказываемые материальные убытки и исключить травматизм персонала. Прогнозированием возможных техногенных аварий занимается подразделение, ответственное за построение СУР, совместно с руководителями соответствующих процессов, координируется техническим директором компании.
Риск-менеджмент персонала предусматривает управление мотивацией всех сотрудников организации, их обучение, создание эффективной системы поддержки принятия решений с целью снижения потерь, связанных с ошибочными действиями работников предприятия.
Риск-менеджмент персонала осуществляется подразделением, ответственным за построение СУР компании, совместно с руководителями соответствующих процессов, координируется руководителем по работе с персоналом.
Риск-менеджмент внешнеэкономической деятельности осуществляется Генеральным директором организации посредством диверсификации активов и оценки политических рисков.
Аналитическая оценка агрегированного риска с учетом корреляции всех возможных риск-факторов выполняется руководителем компании по финансам.
Контроль рисков заключается в информировании Генерального директора и соответствующих подразделений предприятия о состоянии Паспорта рисков и оценочных показателях возможных отклонений стоимости риск-объектов предприятия по сравнению с запланированными бюджетными данными.
В мониторинг эффективности работы СУР включаются следующие направления:
Алгоритм построения системы управления рисками
Менеджмент и все его компоненты неразрывно связаны со стратегией предприятия. Эта аксиома определяет принципы управленческой деятельности и основные узловые моменты. Специфика построения системы управления рисками в корпорации основана на корректировке локальной стратегии работы с неблагоприятными событиями в ходе процесса контроля. Для разработки эффективной СУР очень важен опыт практического применения финансово-экономической теории, налогового и гражданского права, внешних нормативных актов и стандартов.
Построение системы управления рисками, пример которой приведен ниже,основывается на опыте работы отечественных компаний с ориентиром на методику COSO. Создание данной модели СУР осуществляется по следующему алгоритму:
Принципы функционирования системы управления рисками, о которых нужно помнить всегда
Процессы построения, внедрения и развития СУР на предприятии напрямую зависят от принципов ее реализации. Данные правила должны строго соблюдаться всеми руководителями, ответственными за построение СУР и выполнение всех процедур системы управления рисками персоналом компании. При создании и внедрении следует соблюдать следующие принципы:
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.