Анализ риска подразумевает учет причин и источников рисков, их положительные и отрицательные последствия, а также вероятность возникновения таких последствий.

Как правило, включает оценку ряда возможных последствий, которые могут возникнуть в результате события, ситуации или обстоятельства, и их соответствующую возможность, что позволяет измерить уровень риска. Однако в отдельных случаях (например, если последствия могут быть незначительными, или предполагается, что возможность будет крайне низкой) оценки одного параметра может быть достаточно для принятия решения.

В любом случае необходимо разработать некоторую структуру для оценки рисков. При оценке необходимо обратить внимание на беспристрастные независимые доказательства, следует рассмотреть вопрос о перспективах целого ряда заинтересованных сторон, пострадавших от риска, и предупредить путаницу, связанную со справедливой оценкой риска и суждением о приемлемости определенных рисков.

При оценке риска существуют три важных принципа:

1.      Обеспечение наличия четко структурированного процесса, с помощью которого учитывается, как вероятность, так и воздействие;

2.      Регистрация оценки риска способом, содействующим мониторингу и идентификации приоритетов риска;

3.      Проведения различия между «неотъемлемым» и «остаточным» риском[1]. Уровень риска будет зависеть от достаточности и эффективности существующих мер контроля.

Методы, используемые при анализе рисков:

  • Качественный метод: такие методы определяют последствие, возможность и уровень риска по описательным шкалам, могут сочетать последствие и возможность, и оценивать результирующий риск в соответствии с качественными критериями.
  • Полуколичественный метод: в таких методах используются числовые оценочные шкалы последствия и возможности, и они могут сочетаться для формирования уровня риска, используя формулу. Шкалы могут быть линейными или логарифмическими, или иметь некоторое другое отношение. Используемая формула также может меняться.
  • Количественный метод: такой вид анализа оценивает практические значения последствий и их возможностей, а также производит цифровые показатели воздействия, вероятности и уровня риска, используя данные из разных источников. Полный количественный анализ может не всегда быть возможен или желателен из-за скудной информации об анализируемом объекте, отсутствии данных, влияния человеческих факторов и т.д.

Качественный и количественный методы имеют свои преимущества и недостатки.

Качественный анализ относительно быстрый и легкий, предусматривает много информации о нефинансовых последствиях, и легко понимается большим количеством сотрудников.

С другой стороны, не проводит большой разницы между уровнями риска, не может численно агрегировать или изучить взаимодействие или соотношение риска, и предоставляет ограниченные возможности для выполнения анализа затрат и выгод.

Количественный анализ позволяет преодолеть множество недостатков количественного метода, несмотря на то, что он может занять много времени и средств, прежде всего, на этапе разработки метода.

Анализ причинно-следственных связей – это полукачественный, структурированный метод, позволяющий отследить первопричины потенциального события. Систематизирует возможные способствующие факторы в широкие категории, таким образом, могут учитываться все соответствующие гипотезы. Однако сам по себе анализ не указывает на фактические причины, поскольку они могут определяться только вещественными доказательствами и эмпирической проверкой гипотез. Анализ причинно-следственных связей предусматривает структурированную наглядную картину (схему) перечня причин специфического воздействия (положительное или отрицательное, в зависимости от контекста). Применяется для формирования консенсуса по всем возможным сценариям, а также наиболее вероятным причинам, выявленным командой экспертов. Такие причины затем могут проверяться на эмпирическом уровне или путем оценки доступных данных.

При необходимости может составляться схема причинно-следственных связей:

  • Выявить возможную коренную причину специфического воздействия, проблемы или условия;
  • Выбрать и привести в соответствие некоторые взаимодействия между факторов, влияющих на определенный процесс;
  • Провести анализ существующих проблем, таким образом, могут быть предприняты меры по совершенствованию.

Входные данные для анализа причинно-следственных связей могут образовываться в результате навыков и опыта участников или на основе ранее разработанной модели, которая использовалась в прошлом.

Анализ причинно-следственных связей должен проводиться командой экспертов, которые знают о проблеме, требующей разрешения.

Основные шаги выполнения анализа причинно-следственных связей:

1.      Создание анализируемого эффекта и помещение в блоки;

2.      Определение основных категорий причин (выбранных в соответствии с конкретным подтекстом) и представление их по блокам в диаграмме причинно-следственных связей;

3.      Информирование о возможных причинах по каждой главной категории с секторами и подсекторами для описания взаимоотношения между ними;

4.      Продолжать спрашивать «почему?» или «какова причина?», чтобы увязать причины;

5.      Обзор всех секторов для проверки согласованности и полноты, а также для обеспечения того, что причины распространяются на основное воздействие; 

6.      Выявление наиболее вероятных причин, исходя из мнения команды и имеющихся доказательств.

Результаты, как правило, отображаются на диаграмме причинно-следственных связей (или графике причинной зависимости) или на древовидной схеме. Диаграмма причинно-следственных связей структурируется путем подразделения причин на основные категории (представляется  размеченными линиями диаграммы причинно-следственных связей), при этом секторы и подсекторы описывают более специфичные причины под вышеупомянутыми категориями.

Рисунок 3: Пример графика причинной зависимости или диаграммы причинно-следственных связей

 

Источник: IEC/FDIS 31010:2009, Методы управления рисками – оценки рисков

 

Как говорилось выше, уровень риска – это действие факторов, в частности, таких, как вероятность и воздействие.      

Воздействие относится к степени влияния рискового события на организацию. Критерии оценки воздействия могут включать финансовые, репутационные, нормативные последствия, последствия для здоровья, сохранности, безопасности, окружающей среды, сотрудников, заказчиков и операционные последствия. Организации, как правило, определяют воздействие, используя сочетание таких последствий, учитывая, что определенные риски могут воздействовать на предприятие с финансовой точки зрения, тогда как другие риски могут больше сказываться на репутации или здоровье и безопасности.

Вероятность отражает слабую/сильную возможность фактического наступления определенного события. Вероятность может выражаться с качественной, процентной или частотной точки зрения. Иногда организации описывают вероятность с наиболее персональных  и качественных перспектив, например «событие, которое, по предположению, возникнет несколько раз (или не возникнет) за профессиональную деятельность».

В Приложении представлены примеры показателей риска по воздействию и вероятности.

При использовании качественных или полукачественных методов (например, показатели риска), направленных на оценку уровня риска, вне зависимости от события (статистические, организационные или специфические), применение одного и того же числа параметров воздействия, а также вероятности является крайне важным условием. Чтобы сбалансировать субъективность оценки, требуется несколько специалистов, проводящих оценку по отдельному риску, при этом оценка должна максимально дополняться объективными данными.  

Что касается функций и ответственностей, оценка факторов риска находится в рамках ответственности владельцев процесса. Измерение риска – это задача для рабочих групп, которая поддерживается отделом по управлению рисками и при участии персонала, работающего над рассматриваемыми процессами. Такой персонал представляет свои результаты старшему руководству на утверждение/проверку. Эксперты (например, в области IT, защиты данных/статистической конфиденциальности и т.д.) ответственны за измерение специфических рисков. Результаты оценки также всегда анализируются и подтверждаются менеджером по рискам.

  

Влпросы и ответы

Вопрос. С привязкой к фазе измерения риска, использует ли ваша организация разные методы по классификации рисков (IT, финансовые, риск, связанный с нарушением, и т.д.)?

Ответ. Оценка риска (в статистических областях) учитывает ряд вопросов, связанных с циклом обработки статистических данных, который может влиять на качество данных, а также с управлением взаимоотношениями с заинтересованными сторонами.

Источник: Австралийское бюро статистики,  Подробный обзор практики управления рисками

 

   

Неотъемлемый риск: риск для субъекта при отсутствии какой-либо деятельности, которую руководство может осуществить для изменения вероятности или воздействия риска.

 

Остаточный риск: часть общего риска, оставшегося после обработки. Остаточный риск включает в себя допустимый риск и неустановленный риск.

  • No labels