ТЕГИ: Определение риска, критерии риска, идентификация риска, разные подходы, иерархия рисков, методы, участие заинтересованных сторон, функции и ответственности.

Риск, как правило, представляет собой неопределенность, по сути связанную с последствиями действий и событий, будь то положительные (например, возможность) или отрицательные (например, угроза). Риск измеряется путем комбинацией вероятности и воздействия, включая воспринимаемую актуальность. «Неотъемлемый риск» – это подверженность, вытекающая из специфического риска до выполнения какого-либо действия для управления им, тогда как «остаточный риск» – это подверженность, вытекающая из специфического риска после выполнения какого-либо действия для управления им, а также в случае если такое действие доказало свою эффективность.

Организация определяет критерии, используемые для оценки значимости риска. Такие критерии должны отражать восприятие риска заинтересованными сторонами (на основе набора значений/опасений), а также ценности организации, задачи и ресурсы. Некоторые критерии могут задаваться или возникать на основе законодательных и нормативных требований. Критерии риска должны соответствовать политике организации по управлению рисками, определенной в структуре управления рисками.

Определение критериев риска включает выбор следующих элементов:

1.      Характер и вид последствий, которые будут включены, а также то, как они будут измеряться;

2.      Способ выражения вероятностей;

3.      Как будет определяться уровень риска;

4.      Критерии, определяющие то, когда необходимо выполнить обработку риска;

5.      Критерии, определяющие то, когда риск является приемлемым и/или допустимым;

6.      Будут ли комбинации рисков учитываться и как.

Идентификация риска требует анализ следующих вопросов:

  • Первичное/коренное событие: любая деятельность, которая может потенциально повысить специфический риск, вне зависимости от того, контролируется ли такая деятельность организацией или нет;
  • Области воздействия: работа с классификацией/ранжированием последствий;
  • Ключевые факторы: организационные свойства, которые помогают произойти рисковому событию;
  • События: определенное стечение обстоятельств; и
  • Их возможные последствия: потенциальный результат события. Необходимо учитывать широкий спектр последствий риска, включая каскадный и суммарный эффект.

Вышеуказанные вопросы могут создавать, решать, предупреждать, ухудшать, ускорять или сдерживать способность всей организации или ее части в достижении собственных задач.

I. Иерархия рисков и классификация рисков

Структура управления рисками включает иерархию рисков, включающую различные уровни рисков и приоритеты в стратегиях обработки рисков.

-          Общеорганизационные или так называемые «корпоративные» риски являются стратегическими (т.е. могут существенно влиять на организацию). Их управление имеет существенное значение для обеспечения долгосрочной жизнеспособности организации, и должно выполняться под руководством комитета по рискам;

-          Риски управления портфелем неотъемлемо относятся к портфелю проектов в целом, и управляются старшим руководством. Некоторые примеры портфельных рисков: доступность портфеля, отсутствие возможности/потенциала осуществить портфель, отсутствие своевременной доступности навыков и человеческих ресурсов;

-          Проектные риски могут влиять на задачи и результаты проектов, и управляются менеджером по проектным рискам. В соответствующих случаях они будут рассматриваться в рамках структуры управления проектом. Некоторые примеры проектных рисков: недостаточно хорошо определен объем проекта, отсутствие ресурсов в случае необходимости, недостаточно хорошо определены требования качества.

-         Операционные риски могут влиять на задачи и/или результаты программы (т.е. неподходящая профессиональная структура, сокращение ресурсов в результате сокращения бюджета, неполученные вовремя результаты, результаты плохого качества), и управляются руководителями программ.

Несмотря на то, что каждый зарегистрированный риск может быть важен для управления на уровне функциональной и хозяйствующей единицы, перечень корпоративных рисков требует ранжирование, чтобы привлечь внимание совета и старшего руководства к ключевым рискам.

Управление рисками на корпоративном, общеорганизационном и оперативном уровнях необходимо интегрировать, так чтобы уровни активности дополняли друг друга. Таким образом, стратегия организации по управлению рисками должна руководиться сверху, и включаться в нормальные рабочие процедуры и мероприятия.

Требуются специалисты по специфическим рискам, непосредственно относящиеся к соответствующему высшему руководству. Области специфического риска включают: 

-          Риски для здоровья и безопасности;

-          Риски потерь от мошенничества (т.е., манипулирование какими-либо процедурами в мошеннических целях, несоблюдение процедур и/или правил внутреннего распорядка, изменение проверок исполнения работ или поставки товаров и т.д.);

-          Риски, связанные с ИКТ (т.е., риски, связанные с системами безопасности, непрерывность бизнеса и т.д.)

Поэтому организации следует установить и документально зарегистрировать категории рисков, а также категории последствий рисков в соответствии с размером, целью, характером, сложностью и контекстом. Категории рисков, в том числе со стороны заинтересованных сторон, необходимо передавать по организации, что предусмотрит обмен взаимопониманием.

Группирование похожих видов рисков в категории рисков помогает:

1.      Выполнить корректную оценку;

2.      Профилировать и сообщать о последствиях фактических и потенциальных событий;

3.      Содействовать сравнению в рамках всей организации;

4.      Объединять и картировать одинаковые виды риска в рамках всей организации;

5.      Распределять ответственности по управлению рисками;

6.      Формировать внутренние навыки, знания и опыт в рамках всей организации.

Таблица ниже показывает категории и классы рисков для НСБ в соответствии с распределением, предложенным стандартом общеорганизационного управления рисками Co.S.O.

Стратегический   
 		Статистическое производство, распространение статистических данных, системы и процессы

  управления, организация

Операционный   Отдел кадров, финансы, ИКТ, закупки   
Соблюдение   Соблюдение закона, стандартов  
Отчетность   Коммуникационные потоки   

 

II. Средства идентификации рисков

Идентификация рисков может потребовать многосторонний подход, поскольку риски могут охватывать широкий ряд причин и последствий.

Методы идентификации риска:

а)      Доказательные методы, например, листок самоконтроля и анализ архивных данных;

б)     Системные командные подходы (команда, состоящая из экспертов, систематически идентифицирует риски посредством структурированного набора подсказок или вопросов (т.е. структурированные или полуструктурированные интервью, мозговой штурм[1], метод Дельфи[2]));

в)      Способы индуктивного рассуждения (т.е. предварительный анализ опасности, анализ эксплуатационных опасностей, анализ рисков и критических контрольных точек);

г)       Анализ сценариев (т.е. анализ основной причины, анализ сценариев как таковых, анализ причин и последствий);

д)     Статистические методы (т.е. анализ по методу Монте-Карло, байесовский анализ).

   

При осуществлении этих методов, необходимо всегда учитывать зрелость системы управления рисками. Во время экспериментальной фазы по моделированию управления рисками, квалифицированный анализ всегда необходимо сочетать со структурированным или полуструктурированным интервью, или с заполнением листка самоконтроля, чтобы помочь владельцам риска в анализе рисков.

Квалифицированный анализ должен основываться на фактической информации путем проверки данных, полученных от различных систем (например, электронные системы управления документацией, система регистрации несоответствий и ИТ-инцидентов, система регистрации использования времени, а также специальная система регистрации признаков качества статистических обследований). После создания культуры управления рисками в рамках всей организации, мозговой штурм и метод Дельфи могут заменить интервью, анализ причин и последствий, листок самоконтроля или другой упрощенный вид анализа сценариев.

Факторы, влияющие на выбор метода:

1.      Сложность проблемы и методы, необходимые для их анализа;

2.      Характер и степень неуверенности оценки рисков, основывается на сумме доступной информации и требований по удовлетворению задач;

3.      Объем ресурсов, необходимый с точки зрения времени и опыта, информационных потребностей или расходов;

 4.      Может ли метод предусмотреть количественный результат.

[1] Мозговой штурм – это способ сбора широкого спектра идей и их оценка, а также упорядочение, выполняемое командой. Может предлагать подсказки или методы проведения личных и групповых интервью

[2] Способ объединить мнения экспертов, позволяющий дополнить процесс выявления источника и влияния, оценки вероятности и последствий, и также оценки рисков. Представляет собой кооперативный метод формирования консенсуса среди экспертов (ISO ISO31010 – Метод оценки рисков).

  • No labels