Системата за управление на риска на компанията. Дейности по управление на риска Практики за управление на риска на ниво предприятие

02.11.2021

В ерата на икономическата и финансова криза управлението на риска е най-належащият проблем, пред който са изправени руските индустриални компании. Процесите на глобализация се превръщат в друг източник на икономически рискове, така че използването на основите на управлението на риска в управлението ще допринесе за постигането на целите и задачите на химическите компании, въпреки че, разбира се, няма да намали вероятността от различни видове рискове до нула.

Въвеждането на система за управление на риска в предприятията дава възможност за:

  • идентифициране на възможни рискове на всички етапи на дейност;
  • прогнозиране, сравняване и анализиране на възникващи рискове;
  • разработване на необходимата стратегия за управление и набор от решения за минимизиране и елиминиране на рисковете;
  • създава необходимите условия за изпълнение на разработените мерки;
  • наблюдават функционирането на системата за управление на риска;
  • анализирайте и контролирайте резултатите.

Характеристиките на управлението на риска включват: необходимостта ръководството на компаниите да има изпреварващо мислене, интуиция и предвиждане на ситуацията; възможността за формализиране на системата за управление на риска; способността за бърза реакция и идентифициране на начини за подобряване на функционирането на организацията, намаляване на вероятността от нежелан ход на събитията.

Цялостна система за управление на риска ERM (Предприятие риск управление) в много чуждестранни компании, например в САЩ, вече се използва доста широко, тъй като собствениците на големи световни компании вече са се уверили на практика, че старите методи на управление не отговарят на съвременните пазарни условия и не са в състояние да гарантират успешното развитие на техния бизнес.

Прилагането на управлението на риска предполага ясно разпределение на отговорността и правомощията между всички структурни подразделения. Функциите на висшия мениджмънт включват назначаване на отговорни лица за прилагането на необходимите процедури за управление на риска на всички нива. Такива решения трябва да са съобразени със стратегическите цели и задачи на компанията и да не нарушават условията на действащото законодателство. В същото време е необходимо правилно да се разпредели между изпълнителите мярката за идентифициране на рисковете и функциите за контрол върху създадената рискова ситуация.

Управлението на риска като ключов инструмент, насочен към подобряване на представянето

Управлението на риска е един от ключовите инструменти за подобряване на ефективността на програмите за управление на предприятието, които те могат да използват, за да намалят разходите за жизнения цикъл на продукта и да смекчат или избегнат потенциални проблеми, които биха могли да попречат на успеха на предприятието.

Постигането на целите на предприятието изисква конкретни представи за основната дейност, производствени технологии, както и изучаване на основните видове рискове. Предотвратяването на рисковете и намаляването на загубите от въздействието води до устойчиво развитие на предприятието. Процесът, чрез който дейностите на едно предприятие се насочват и координират от гледна точка на ефективността на управлението на риска и представлява управление на риска. Управлението на риска е процесът на идентифициране на загубите, пред които организацията е изправена в основния си бизнес и тяхното въздействие, и избор на най-подходящия метод за управление на всеки отделен риск.

От друга гледна точка, управлението на риска е систематичен процес, при който рисковете се оценяват и анализират с цел намаляване или премахване на последствията от тях, както и за постигане на целите.

Въз основа на гореизложеното може да се заключи, че управлението на риска за осигуряване на жизнеспособност и ефективност на предприятието е цикличен и непрекъснат процес, който координира и насочва основните дейности. Препоръчително е това да се направи чрез идентифициране, контролиране и намаляване на въздействието на всички видове рискове, включително наблюдение, контакти и консултации, насочени към задоволяване нуждите на населението, без да се компрометира способността на бъдещите поколения да задоволяват собствените си нужди. Оценката на риска води до стабилност на предприятието, допринасяйки за неговото устойчиво развитие. Управлението на риска – принос към устойчивото развитие, е съществен фактор за поддържане и подобряване на стабилното функциониране на предприятието. Проактивното управление на риска е от решаващо значение за процеса на управление, за да се гарантира, че рисковете се обработват на подходящо ниво.

Планирането и изпълнението на управлението на риска включва следните стъпки:

  • Управление на рисковете;
  • идентифициране на рисковете и степента на тяхното въздействие върху бизнес процесите;
  • прилагане на качествен и количествен анализ на риска;
  • разработване и изпълнение на планове за реакция на риска и тяхното изпълнение;
  • мониторинг на рисковете и процеси на управление;
  • връзката между управлението на риска и изпълнението;
  • оценка на цялостния процес на управление на риска.

Методология (програма) за непрекъснато управление на риска

За да се улеснят дейностите по управление на риска, предприятието трябва да разработи методология (програма) за непрекъснато управление на риска (CRRM). MNRM е теоретично значима програма, насочена към разработване на механизми за управление на проекти с най-добри практики, методи и инструменти за управление на риска в предприятието. Той осигурява условия за активно вземане на решения, непрекъсната оценка на риска, определяне на степента на значимост и степен на влияние на рисковете върху управленските решения и прилагане на стратегия за борба с тях. Освен това може да се постигне напредък и в обхвата на проекта, бюджета на предприятието, времето за неговото изпълнение и т.н. Фигура 1 ясно илюстрира методологията на непрекъснатия процес на управление на риска.

Ориз. 1. Непрекъснат процес на управление на риска

Процесът на управление на изпълнението действа като спомагателен инструмент за получаване на информацията, необходима за разработения механизъм за управление на риска. Неблагоприятните тенденции трябва да бъдат анализирани и оценени за тяхното въздействие върху този механизъм. Трябва да се предприемат подходящи действия на механизма за контрол за онези области на дейност, които са определени като основни в бизнес процесите на предприятието. Коригиращите действия могат да включват преразпределение на ресурси (средства, персонал и разсрочване на производството) или активиране на планирана стратегия за намаляване на риска. При използването на този механизъм могат да се вземат предвид и тежки случаи, неблагоприятни тенденции и ключови индикатори.

Важно е този механизъм да подчертае необходимостта от преоценка на идентифицираните рискове, които системно влияят върху дейността на предприятието. Тъй като системата преминава през жизнения цикъл на разработка, в този случай по-голямата част от информацията ще стане достъпна за оценка на риска. Ако големината на риска се промени значително, трябва да се коригират подходите за неговото лечение.

Като цяло, този прогресивен подход към управлението на риска е от решаващо значение за един цялостен процес на управление и гарантира, че показателите на риска се обработват ефективно и на подходящо ниво.

Разработване на програма за управление на риска в предприятието

Помислете за политиката за управление на риска, която трябва да се прилага в предприятието. Разработеният механизъм (програма) трябва да е насочен към ефективно и непрекъснато управление на риска. По този начин се насърчава ранното, точно и непрекъснато идентифициране и оценка на рисковете, а създаването на информационно прозрачно отчитане на риска, планирането на мерки за намаляване и предотвратяване на промени във външните и вътрешните условия ще има положително въздействие върху програмата.

Този механизъм, включително взаимоотношенията с контрагенти и контрагенти, трябва да изпълнява функциите за идентифициране на рискове и тяхното наблюдение. За неговото изпълнение е необходимо да има план под формата на набор от ръководства, разработени за конкретни области на дейност. Този план определя насоките за прилагане на ISDM в конкретна времева рамка. Той не влияе върху провеждането на други дейности на цялото предприятие, а по-скоро може да осигури ръководство на ръководството в управлението на риска.

Процесът на управление на риска трябва да отговаря на редица изисквания: той трябва да бъде гъвкав, проактивен и да работи за осигуряване на условия за ефективно вземане на решения. Управлението на риска ще повлияе на рисковете чрез:

  • насърчаване на идентифициране на риска;
  • декриминализация;
  • идентифициране на активни рискове (постоянна оценка на това какво може да се обърка);
  • идентифициране на възможности (постоянно оценяване на вероятността от благоприятни или навременни случаи);
  • оценки на вероятността от възникване и тежестта на въздействието за всеки идентифициран риск;
  • определяне на подходящи курсове на действие за намаляване на възможното значително въздействие на рисковете върху предприятието;
  • разработване на планове за действие или стъпки за неутрализиране на въздействието на всеки риск, който трябва да бъде смекчен;
  • поддържане на непрекъснат мониторинг на възникването на рискове с незначителна степен на въздействие към настоящия момент, които могат да се променят във времето;
  • производство и разпространение на надеждна и навременна информация;
  • улесняване на комуникацията между всички заинтересовани страни от програмата.

Процесът на управление на риска ще се извършва по гъвкав начин, като се вземат предвид обстоятелствата, при които възниква всеки риск. Основната стратегия за управление на риска е да се идентифицират критичните области на рискови събития, както технически, така и нетехнически, и да се предприемат необходимите мерки предварително за справяне с тях, преди те да имат значително въздействие върху предприятието, причинявайки сериозни разходи, намалявайки качеството на продукта или производителност.

Нека разгледаме по-подробно функционалните елементи, които са компоненти на процеса на управление на риска: идентифициране (откриване), анализ, планиране и реагиране, както и наблюдение и управление. Всеки функционален елемент ще бъде разгледан по-долу.

  1. Идентификация
  • Преглед на данните (т.е. спечелена стойност, анализ на критичния път, цялостно планиране, анализ на Монте Карло, бюджетиране, анализ на дефекти и анализ на тенденциите и др.);
  • Разглеждане на представените формуляри за идентифициране на риска;
  • Провеждане и оценка на риска чрез мозъчна атака, индивидуална или групова партньорска проверка
  • Задържане независима оценкаидентифицирани рискове
  • Въведете риска в регистъра на риска
  1. Идентифициране/анализ на риска на инструментите и методите, които трябва да се използват, включват:
  • Методи за интервю за определяне на риска
  • Анализ на дървото на грешките
  • Исторически данни
  • Поуки
  • Отчитане на риска - Контролен списък
  • Индивидуална или групова преценка на експерти
  • Подробен анализ на структурата на разбивката на работата, проучване на ресурсите и планиране
  1. Анализ
  • Извършване на оценка на вероятността - на всеки риск ще бъде присвоено високо, средно или ниско ниво на вероятност за възникване
  • Създаване на рискови категории – идентифицираните рискове трябва да бъдат свързани с една или повече от следните рискови категории (напр. цена, време, технически, софтуер, процес и др.)
  • Оценете въздействието на рисковете – оценете въздействието на всеки риск в зависимост от идентифицираните рискови категории
  • Определяне на тежестта на риска – присвоете вероятностите и рейтинговите въздействия във всяка от рисковите категории
  • Определете кога е вероятно да настъпи рисковото събитие
  1. Планиране и реакция
  • рискови приоритети
  • Анализ на риска
  • Определете отговорно лице за възникването на риска
  • Определете подходяща стратегия за управление на риска
  • Разработете подходящ план за реакция на риска
  • Направете преглед на приоритетите и определете нивото му в отчитането
  1. Надзор и контрол
  • Определете формати за отчитане
  • Определете формата за преглед и честотата на възникване за всички рискови класове
  • Отчет за риска въз основа на тригери и категории
  • Извършване на оценка на риска
  • Подаване на месечни отчети за риска

За ефективно управление на риска в предприятието считаме за целесъобразно да се създаде отдел за управление на риска. Основните отговорности на това структурно звено, включително за персонала и други потребители (включително служители, консултанти и изпълнители), за успешно прилагане на стратегията и процесите за управление на риска са дадени в табл. един.

Таблица 1 — Роли и отговорности на отдела за управление на риска

Роли Възложени задължения
Програмен директор (DP) надзор на дейностите по управление на риска.

Мониторинг на риска и планове за реакция на риска.

Одобряване на решението за финансиране на планове за отговор на риска.

Мониторинг на управленските решения.
Ръководител проект подпомагане на контрола на дейностите по управление на риска

Съдействие за създаване на организационен авторитет за всички дейности по управление на риска.

Навременна реакция на риска от финансиране.
служител улесняване на изпълнението на управлението на риска (служителят не носи отговорност за идентифицирането на рискове или за успеха на индивидуалните планове за реакция на риска).

Необходимостта от насърчаване на проактивно вземане на решения при определяне на подходящи реакции на риска за собствениците на риска и ръководителите на отдели.

Администриране и ангажираност на заинтересованите страни, процес на управление на риска

Осигуряване на редовна координация и обмен на информация за риска между всички заинтересовани страни,

Управление на рисковете в регистъра на регистрираните рискове (база данни).

Развитие на знанията на персонала и контрагентите в областта на дейностите по управление на риска.
секретар функциите на секретар се изпълняват от служител на рисковия отдел или се редуват между всички служители. Характеристиките включват:

Планиране и координиране на срещи;

Подготовка на дневен ред на заседанието, пакети за оценка на риска и протоколи от срещи.

Вземете и проследете състоянието на предложените видове риск.

Извършване на първоначална оценка на предложените видове риск за определяне на най-важните.

Експерт в предметната област анализ на риска по искане на председателя на Съвета на директорите.

Улесняване на анализа от членове на Съвета на директорите, които ще решат дали е необходимо намаляване на риска.

Редовна координация и комуникация за обмен на информация за риска с всички заинтересовани страни,
Директор на отдел (DO) назначаване на собственици на рискове в тяхната област на отговорност и/или компетентност.

Активно насърчаване на служителите

Проследяване на интегрирането на усилията за управление на риска на отговорните лица в техните области на отговорност.

Избор и одобрение на стратегия за отговор на риска. Това включва одобряване на ресурси (напр. риск на собственика) за допълнителен анализ на риска и/или изготвяне на по-подробен план за реакция на риска, ако е необходимо. Одобрение на всички задачи.

Разпределете ресурси за отговора за управление на риска, съдържащ се в подробния план.
Индивидуален член на програмата на Office of Management (OMP). идентифициране на рисковете.

Достъп до данни за управление на риска

Идентифициране на възможни рискове от данните, като се използва стандартен формуляр за идентификация, ако е необходимо

Изготвяне и прилагане на план за реакция на риска

Определяне на времето и всички разходи, свързани с изпълнението на плана за реакция на риска
Собственик на риска / Отговорно лице присъства на заседанията на отдела за управление на риска.

Преглед и/или предоставяне на съответните данни, например анализ на критичния път, инструменти за поддръжка на проекти/данни, анализ на дефекти, одит и възможност за неблагоприятни тенденции

Участие в разработването на планове за реакция

Доклад за състоянието на риска и ефективността на плановете за реакция на риска

Работете за идентифициране на средства за реагиране на рискове чрез всеки допълнителен или остатъчен риск.
интегрирана бригада (KB) идентифициране и предоставяне на информация за рисковете, които могат да възникнат в резултат на дейността на ТБ.

Участие в планирането на всеки риск в съответствие с тази програма. Такова планиране изисква координация с отдела за управление на риска, който, действайки като ръководство, може да помогне за придобиване на ресурси за реагиране на рискове.

Докладвайте за напредъка и резултатите от реакцията на риска.
Контрол на качеството контрол и преглед на RCM при актуализиране или промяна на плана

Ангажимент за поддържане на качеството на практиките за документиране и процесите за управление на риска

Функциите за управление на риска се състоят в организиране на взаимодействие със съществуващите подразделения организационна структура. CPI се формират за функционални области, които са от решаващо значение за успешното изпълнение на целите. Всички функционални отдели или бизнес процеси, които не са обхванати от CU, се оценяват и преглеждат от DP, PM и служителя, за да се осигури адекватно поведение във връзка с възникването на риск. Идентифицирането на риска е процесът на определяне кои събития могат да повлияят на дейността на предприятието и документиране на техните характеристики. Важно е да се отбележи, че идентифицирането на риска е итеративен процес. Първата итерация е предварителна оценка и проверка на риска на екипа, ако е необходимо, с идентификатор на риска. Втората итерация включва представяне, преглед и дискусия. Процесът на управление на риска включва три отделни стъпки за характеризиране на риска: идентифициране, оценка и коригиране и потвърждение.

Графично представяне на процеса на идентифициране на риска е показано на фиг. 2.

Ориз. 2. Структурна схемаалгоритъм за идентифициране на риска

В резултат на прилагането му може да се разработи набор от мерки за оценка на оперативните рискове на предприятието, интегралния риск, чиято количествена оценка се основава на цялостен анализ на финансовите и счетоводни отчети, както и оценката на интегралния риск. риск, базиран на всички нива на отговорност на предприятието.

Заключение

Управлението на риска в химическите предприятия трябва да се извършва в рамките на системни и процесни подходи, като се отчитат спецификите на индустрията, като се използват съвременни ефективни методи за управление и производствени организации, както и инструменти за управление на риска. Системата за управление на риска за дейността на химическо предприятие трябва задължително да отчита изискванията за безопасност, установени от държавните органи, и да гарантира безопасността и здравето на персонала, свързан с опасно технологично съоръжение. За ефективно управление на риска на предприятието е необходима интегрирана система за управление на риска, която се състои в интегриран подход за оценка на максималния брой рискови фактори за дейността на предприятието, осъществявана в динамична икономическа среда. Авторът смята, че разработването на горния набор от мерки ще бъде придружено от повишаване на нивото на управление и оценка на риска в индустриалните организации.

Същност на рисковете и тяхната класификация

За първи път понятието „риск” по отношение на бизнес сферата на човешката дейност е формулирано в застрахователния бизнес, а по-късно и в борсовия бизнес. Мениджмънтът като управленска наука донесе в нова област на познанието разбиране за това как трябва да бъде организиран процесът на управление на риска.

Понятието "риск" се дефинира двусмислено и често зависи от контекста на неговото използване. Рискв най-обща форма може да се определи като възможна опасност.

В широк смисъл рискът е ситуационна характеристика на дейността на всеки пазарен субект, която е следствие от несигурност във вътрешната и външната му среда и когато се реализира, могат да настъпят неблагоприятни последици за този субект.

IN тясно изложени на рискнеобходимо е да се разбере вероятността да понесе загуби от предприятието в резултат на извършване на бизнес.

Основните характеристики на риска са както следва:

Рискът присъства винаги на всички етапи от дейността на стопанските субекти, независимо от обхвата на тяхното функциониране, като разликата е само в неговата степен;

Пълното елиминиране на риска е невъзможно поради редица причини, както обективни, така и субективни.

Управлението на риска започва да се оформя като отделна наука през втората половина на 20 век, като категориалният апарат и методологията на управлението на риска все още не са се утвърдили напълно. Въпреки това се смята, че на микро ниво възникването на рискове е свързано с несигурност.

Според степента на тежест има три основни типа несигурност:

Пълна несигурност (характеризира се с близка до 0 предвидимост на настъпването на събитие);



Частична несигурност (характеризира се с факта, че вероятността за настъпване на събитие и следователно степента на неговата предсказуемост е в диапазона от 0 до 1);

Пълна сигурност (характеризира се с предвидимостта на настъпването на събитие, близко до 1).

Причините за несигурност могат да бъдат групирани в няколко основни групи:

Неопределеността на процесите, протичащи в обществото като цяло и в икономическия живот в частност;

Липса на пълна информация при планиране на поведението на пазарен субект или неговия субективен анализ;

Влияние на субективните фактори върху резултатите от анализа.

Появата на несигурност в условията на функциониране на предприятието и неговото управление може да се дължи на действието на различни фактори, сред които най-често срещаните са:

Несигурност при определяне на периода на стратегическо планиране за развитие на предприятието;

Несигурност при формирането на целите на предприятието и избора на приоритети за развитие;

Грешки при оценка на текущото състояние на нещата в предприятието и неговото място на пазара;

Недостатъчна пълнота или погрешна информация за перспективите за развитие на това предприятие и пазара като цяло;

Неуспехи в процеса на разработване на стратегия на предприятието, както и по време на нейното изпълнение;

Несигурност при контрола и оценката на резултатите на предприятието.

Стратегията за развитие на предприятието в пазарна икономика трябва да се формира, като се вземат предвид тези видове несигурност на всеки етап: на етапа на определяне на стратегията; формиране на цели; разработване на начини за изпълнение на избраната стратегия и формиране на области на дейност; анализ на собствените компетенции; контрол върху изпълнението на стратегията.

Икономическите субекти в процеса на своето функциониране са засегнати от различни видове несигурност и рискове и до известна степен могат да ги управляват.

Ефективността на управлението на риска до голяма степен се определя от идентифицирането на рисковете в общата система за тяхната класификация. Рисковете могат да бъдат класифицирани по различни критерии (таблица 16.1).

Таблица 16.1

Класификация на риска

Характеристики на класификацията Видове рискове
Връзка с бизнес дейности Предприемачески Непредприемачески
Принадлежност към страната на дейност на икономическия субект Вътрешен външен
Честота на поява Фирма (микрониво) Секторна междусекторна Регионална държава Глобална (в световен мащаб)
Сфера на произход Социално-политически Административно-законодателно Производство Търговски Финансови Природно-екологични Демографски Геополитически
Причини Несигурност на бъдещето Липса на информация Субективни въздействия
Степента на обосновка за приемане на риска Оправдано Частично оправдано Приключенски
Степен на консистенция Системно Несистемно (уникално)
Ограничаване на съответствието Допустима критична катастрофа
Реализация на рисковете Реализиран Нереализиран
Адекватността на времето за вземане на решение относно реакцията при реализиране на рискове Превантивно течение Закъсняло
Група, която анализира риска и взема решение за поведение, ако възникне Индивидуално решение Колективно решение
Мащаб на влияние Моносингулярен Многоединичен
Възможност за прогнозиране Предсказуем Частично непредсказуем
Степен на въздействие върху дейностите Отрицателна Нула Положителна

Принципи и основни етапи на процеса

управление на риска

В икономическата литература има доста голям брой подходи за управление на риска. В широк смисъл управлението на риска се разбира като наука за осигуряване на условията за успешно функциониране на всяка производствена и икономическа единица в условия на риск, в тесен смисъл, като процес на разработване и изпълнение на програма за намаляване на произволни загуби. .

управление на рискаКато всяка система за управление, тя се състои от управлявана и управляваща подсистема. Управлявана подсистемаили контролният обект е комбинация от рискове и свързани взаимоотношения, и контролна подсистемаили субектът на управление е специална група хора, които чрез различни методи и методи на управленско въздействие осъществяват функционирането на икономически субект в условия на риск.

Има няколко основни принципа на процеса на управление на риска:

1) принцип на мащабасе състои във факта, че икономическият субект трябва да се стреми към възможно най-пълно проучване на възможните рискови области. По този начин този принцип води до намаляване на степента на неопределеност до минимум;

2)принцип за минимизиране на рискаозначава, че предприятията се стремят да минимизират, първо, обхвата на възможните рискове, и второ, степента на тяхното въздействие върху техните дейности;

3) принцип на адекватност на отговорасе състои във факта, че икономическият субект трябва бързо да реагира на вътрешни и външни промени, като взема предвид прогнозата за тяхното развитие;

4) принцип на разумно приеманеозначава, че само ако рискът е оправдан, предприятието може да го приеме. Компонентите на този принцип могат да бъдат обобщени, както следва:

Неразумно е да рискувате повече за по-малко;

Необходимо е да се поема риск само в размер на собствените средства;

Необходимо е предварително да се предвидят възможните последици, ако рискът се материализира.

Процесът на ефективно управление на риска включва следното: етапи:

1. Идентификация.На този етап предприятието определя възникването на комбинация от всички възможни рискове.

2. Оценка.На този етап се прави пълен анализ на риска както по отношение на мащаба на неговото влияние, така и по отношение на вероятността от възникване.

3. Избор на стратегияпо отношение на риска. Стратегията на фирмата може да бъде различна: предпазлива, рискова или балансирана (таблица 16.2).

Таблица 16.2

Рискови стратегии на предприятието

4. Намаляване на степента на риска.На този етап предприятието се занимава с избора на методи за въздействие върху риска, за да се сведе до минимум или размера на възможните щети, или вероятността от неблагоприятни събития.

5. Контрол.Този етап се състои в наблюдение на ефективността от прилагането на методите за управление на риска, наблюдение на текущата ситуация (както вътрешна, така и външна), идентифициране на нови обстоятелства, които променят нивото на риска.

На всеки от тези етапи се събира и обменя информация, като степента на риска зависи от нейния обем и качество.

В някои случаи за управление на риска в една организация трябва да се създаде специално звено - отдел за управление на риска, ръководен от мениджър на риска, тоест лидер, който се занимава изключително с проблемите на управлението на риска и координира дейността на всички звена по отношение на управление на риска и осигуряване на компенсация за възможни загуби и загуби.

Има три основни организационни аспекта на създаването на структура за управление на риска:

Дейности на водещия риск мениджър;

Дейност на отдела за управление на риска;

Връзката на звеното с други структури на предприятието.

Функциите на мениджъра на риска включват:

Осигуряване на сигурност и контрол на риска;

Формиране на организационната структура за управление на риска в предприятието;

Разработване на основни разпоредби и инструкции за управление на риска.

Основната задача на рисковия мениджър и неговото подразделение е да разработят стратегия и принципи за управление на риска в предприятието, които да бъдат изложени във вътрешните нормативни документи, основните от които са Регламентите за управление на риска и Насоките за управление на риска.

Декларация за управление на рискаизразява отношението на компанията към управлението на риска. Той трябва да изложи ключовите точки от стратегията за управление на предприятието в тази област, да разграничи правомощията между различните структурни звена и т.н.

За разлика от него Ръководство за управление на рискае документ, който определя конкретни действия. То трябва да съдържа указания как ще бъде решена всяка конкретна задача за управление на риска, както и отговори на следните въпроси: кой трябва да оцени възможните загуби; кой и как трябва да определя условията за осигуряване; какво да направите, ако се случи събитие, което доведе до загуби; как да ограничим загубите.

Основните функции на отдела за управление на риска са: идентифициране на риска; оценка на риска; избор и прилагане на методи за въздействие върху рисковете.

Оценка на риска

Понятията "щета", "загуба" са тясно свързани с понятието "риск". Ако рискът е неопределена възможност за загуба, повреда и унищожаване, тогава загубата се свързва с реализирането на риска, тоест представлява материално, паричен израз на загубите.

Загубите, възникващи в процеса на предприемаческа дейност, в зависимост от принадлежността им към определен вид ресурси, използвани от предприятието, могат да бъдат разделени на следните видове: финансови, материални, маркетингови, загуби на време, морални и психологически, социални, екологични.

За да се определи вероятността от нежелани събития и възможния размер на загубата, се извършва оценка на риска.

В системата на принципите за оценка на риска има три нива:

1. Методологични принципи, тоест принципите, които определят концептуалните разпоредби, които са най-общи и най-важното, не зависят от спецификата на разглеждания вид риск (еднородност, позитивност, обективност).

2. Методологични принципи, тоест принципите, пряко свързани с вида дейност, нейната специфика (динамизъм, последователност и др.).

3. Оперативенпринципи, свързани с наличността, надеждността, недвусмислеността на информацията и възможностите за нейната обработка (моделиране, опростяване).

Методите за оценка на риска се състоят от две групи: качествени и количествени.Качествените оценки са най-сложни, основната им задача е да идентифицират рисковите фактори, да идентифицират областите на дейност и етапите, на които може да възникне рискът. Тоест, в резултат на качествена оценка се идентифицират потенциални рискови зони.

Количественият анализ на риска дава числено определение на размера на отделните рискове, както и риска на целия избран бизнес.

Рискът може да бъде дефиниран както в абсолютно, така и в относително изражение. Измерването на степента на риска в абсолютно изражение е препоръчително да се използва при характеризиране на определени видове загуби и в относително изражение - при сравняване на прогнозираното ниво на загуби с реалното, средно за индустрията, средно за икономиката.

Основните методи за оценка на риска включват статистически, анализ на осъществимостта на разходите, експертни оценки, метод на аналогия и др.

Статистически методе един от най-често срещаните. Методът се използва широко в случаите, когато при извършване на количествен анализ фирмата разполага със значително количество аналитична и статистическа информация за необходимите елементи на анализираната система. Същност статистически методоценката на риска се основава на теорията за вероятностното разпределение на случайните променливи. Тази разпоредба означава, че разполагайки с достатъчно количество информация за изпълнението на определени видове риск през минали периоди за конкретни видове бизнес, всеки стопански субект може да оцени вероятността от тяхното прилагане в бъдеще. Тази вероятност ще бъде степента на риска.

Вероятната прогноза на случайна променлива X, където x 1, x 2, ..., x n - стойностите, които приема, е таблица със следната форма (таблица 16.3):

Таблица 16.3

Вероятностно прогнозиране на случайна променлива

х х 1 х 2 x n
R (X) p1 p2 p n

Според една от основните формули на теорията на вероятностите, сумата от вероятности в вероятностната прогноза трябва да бъде равна на единица, което се отразява във формулата:

Въз основа на вероятностната прогноза на произволна променлива, формулите могат да се използват за намиране на математическото очакване (тоест прогнозата за нейната най-вероятна стойност) и стандартното отклонение, характеризиращо грешката на прогнозата:

,

където M (X) - математическо очакване;

X - стойности, които може да приеме изследваният параметър;

P е вероятността да приемем тези стойности.

Вероятният смисъл на математическото очакване на конкретен параметър от извършване на предприемаческа дейност е, че той е приблизително равен на средноаритметичната стойност на наблюдаваните (възможни) стойности.

Икономическият смисъл на стандартното отклонение от гледна точка на теорията на риска е, че то е характеристика на определен риск, която показва максимално възможното отклонение на определен параметър от неговата средна очаквана стойност. Освен това, колкото по-голяма е стойността на стандартното отклонение, толкова по-рисково е това управленско решение и съответно толкова по-рисков е този път на развитие на предприятието.

Стойността на стандартното отклонение обаче не дава възможност да се сравни рисковостта на дейностите и конкретните ситуации според признаците (загубите), изразени в различни единици.

Този недостатък може да бъде елиминиран чрез въвеждане на коефициента на вариация. Коефициентът на вариация е относителна стойност, която се изчислява като отношение на стандартното отклонение към математическото очакване:

Коефициентът на вариация е безразмерна и неотрицателна стойност, която характеризира риска от непълно постигане на поставените цели. Връзката между коефициента на вариация и нивото на риск е представена в таблица 16.4.

Таблица 16.4

Съответствие на нивото на риска със стойността на коефициента на вариация

Ако нашата цел е случайната променлива X да достигне стойността x * , т.е

,

тогава математическото очакване на абсолютното непостигане на целта (ANC) ще бъде намерено по формулата:

за всички x i< х * .

Относителното непостигане на целта (ONC) може да се намери по формулата:

.

Очевидно, колкото по-висока е стойността на относителния неуспех за постигане на целта, толкова по-голям е рискът. Увеличаването на OCC показва повишаване на риска.

Същност метод за анализ на разходите и ползитесе основава на факта, че в процеса на предприемаческа дейност разходите за всяко конкретно направление, както и за отделни елементи, имат различна степен на риск.

Така, например, хазартът е хипотетично по-рисков от производството на хляб и разходите, които една диверсифицирана фирма прави при развитието на тези две бизнес линии, също ще се различават по степен на риск. Същата ситуация продължава с разходите в същата посока. Степента на риска по отношение на разходите, свързани с закупуването на суровини (които може да не бъдат доставени точно навреме, качеството му може да не отговаря напълно на технологичните стандарти или потребителските му свойства могат да бъдат частично загубени по време на съхранение в предприятието и т.н. .) ще бъде по-високо от разходите за заплати.

Определянето на степента на риска чрез анализ на разходите и ползите е насочено към идентифициране на потенциални рискови области. Това дава възможност да се идентифицират "тесните места" в дейността на предприятието по отношение на рисковете и да се разработят начини за отстраняването им.

Състоянието за всеки от разходните елементи трябва да бъде разделено на рискови зони, които представляват зона на общи загуби, в рамките на която специфичните загуби не надвишават граничната стойност на установеното ниво на риск: зона на абсолютна стабилност; област на нормална стабилност; регион на нестабилно състояние; зона на критично състояние; зона на криза.

Таблица 16.5

Сфери на дейност на предприятието от гледна точка на устойчивост

Всяка разходна позиция се анализира отделно за идентифицирането й по области на риск и максимални загуби. В същото време степента на риск на цялата стопанска дейност ще съответства на максималната стойност на риска по разходни елементи. Предимството на този метод е, че като знаете разходната позиция с максимален риск, можете да намерите начини да я намалите.

Метод за определяне на степента на риска от експертни оценкие по-субективен от другите методи. Тази субективност е следствие от факта, че група експерти, участващи в анализа на риска, изразява собствени субективни преценки както за минала ситуация, така и за перспективите за нейното развитие.

Най-често този метод се използва, когато няма достатъчно информация или при определяне на степента на риск от такава посока на бизнес дейност, която няма аналози, което също прави невъзможно анализирането на минали резултати.

В най-общ вид същността на този метод е, че предприятието идентифицира определена група рискове и обмисля как те могат да повлияят на дейността му. Това съображение се свежда до точкуване на вероятността за възникване на определен вид риск, както и степента на неговото въздействие върху дейността на компанията.

Аналитичен методвключва няколко етапа.

На първия етап се извършва подготовка за аналитична обработка на информацията, която включва:

а) определяне на ключовия параметър, спрямо който се оценява конкретна област на бизнес дейност (например обем на продажбите, обем на печалбата, рентабилност и др.);

б) избор на фактори, които влияят върху дейността на компанията, и следователно върху ключовия параметър (например, темпът на инфлация, политическа стабилност, степента на изпълнение на договорите от основните доставчици на предприятието и др.);

в) изчисляване на стойностите на ключови параметри на всички етапи от производствения процес .

На втория етап се изграждат зависимостите на избраните резултиращи показатели от стойността на изходните параметри. Избрани са основните показатели, които оказват най-голямо влияние върху този видпредприемаческа дейност.

На третия етап се определят критичните стойности на ключовите параметри. В този случай най-просто може да се изчисли критичната точка на производство или зоната на рентабилност, която показва минимално допустимия обем на продажбите за покриване на разходите на компанията.

На четвъртия етап се анализират получените критични стойности на ключовите параметри, факторите, които ги влияят, и се определят възможните насоки за подобряване на ефективността и стабилността на работата на компанията и следователно начини за намаляване на степента на риска.

По този начин предимството на аналитичния метод е комбинацията от фактор по-факторен анализ на параметрите, които влияят на риска и идентифицирането на възможните начини за намаляването му.

Същност метод за използване на аналозисе състои във факта, че при анализиране на степента на риск на определена сфера на бизнес дейност е препоръчително да се използват данни за развитието на същите и подобни области в миналото.

Така че, ако е необходимо да се идентифицира степента на риск във всяка иновативна посока на дейността на компанията, когато няма строга база за сравнение, по-добре е да се знае минал опит, въпреки че той не отговаря напълно на съвременните условия, отколкото не да знам нещо. Методът е насочен към разкриване на сходства в моделите на развитие на процесите и на тази основа да се правят прогнози. Когато се използва методът, трябва да се прави разлика между историческа, литературна и математическа аналогия.

Анализът на минали рискови фактори се извършва на базата на информация, получена от различни източници, като публикувани отчети на компании за тяхната минала дейност, уебсайтове и печатни публикации на държавни организации, данни от застрахователни компании и др. Получените по този начин данни се обработват с цел идентифициране на зависимостите между планираните резултати от дейността на компанията и потенциалните рискове.

Обективната трудност при използването на метода на аналогията за оценка на степента на риска е, че данните от минали периоди трябва да се прилагат към настоящия момент, без да се отчита фактът, че всяка бизнес дейност е в постоянно развитие. Тази опасност е най-ясно видима при разглеждане на производствените линии на предприемаческата дейност. Всеки продукт преминава през няколко жизнени етапа от своето развитие до отстраняването му от производство. Поради това е препоръчително да се сравняват минали и настоящи показатели в рамките на един и същи етап. В противен случай вероятността от грешка по време на анализа е доста висока.

Методи за управление на риска

Всички методи за въздействие върху риска могат да бъдат разделени на следните основни групи: отхвърляне на риска, приемане на риска, намаляване на риска, прехвърляне на риска.

В практиката на компанията съществуват големи рискове, които е просто невъзможно да се избегнат. Тези рискове могат да бъдат частично намалени, но не и напълно елиминирани. Освен това намаляването на такива рискове практически не намалява опасността от последствията от тяхното прилагане. Следователно целта и същността на използването на този метод за управление на големи рискове е да се създадат такива производствени и бизнес условия, при които вероятността от такива рискове е сведена до минимум.

При вземане на решение за провалот рискова операция трябва да се има предвид следното.

Първо, пълното избягване на риска може просто да е невъзможно или малко вероятно, особено за малките фирми.

Второ, очакваната печалба от вземане на рисково решение може значително да надвиши възможните загуби. В такива ситуации избягването на риска не се счита за възможно решение.

На трето място, избягването на един вид риск може да доведе до появата на други видове риск. Тоест такъв метод за управление на риска е ефективен, когато вероятността от загуби и възможният размер на загубата са високи - избягването на рискови ситуации в този случай е най-добрата алтернатива.

Очевидно рисковете не винаги могат да бъдат избегнати. Най-често бизнесът трябва поеми риска.Необходимо е да се обърне внимание на факта, че някои рискове се приемат от компанията, тъй като съдържат възможност за получаване на допълнителна печалба, други рискове се приемат от организацията, тъй като те са неизбежни.

Същността на този метод е да се покрият възможни загуби за сметка на собствените финансови възможности на компанията.Използването на този метод е оправдано в следните случаи:

Честотата на загубата е ниска;

Потенциалната загуба е малка.

Загубите при този метод за управление на риска могат да бъдат покрити или за сметка на текущия паричен поток, или за сметка на резервни фондове, специално създадени за тези цели.

Що се отнася до следващия метод за контрол, тогава намаляване на рискапредполага намаляване или на вероятността от нежелани събития, или на размера на възможните щети.

Същността на метода за предотвратяване на загубисе състои в провеждане на мерки, насочени към намаляване на вероятността от тяхното възникване. Използването на този метод е оправдано в следните случаи:

Вероятността за реализиране на риска е доста висока;

Потенциалните щети са малки.

Използването на този метод е свързано с разработването на програма от превантивни мерки, чието използване е оправдано само докато разходите за тяхното прилагане са по-малки от печалбата от тези дейности.

Когато съставяте план за превантивни действия, трябва:

Оценете икономическата осъществимост на всяко събитие;

Изяснете с ръководството на компанията и (или) нейните специалисти размера на средствата, които могат да бъдат използвани за събития;

Ангажирайте специалисти за разработване на програма от дейности или получаване на съвети по нея, ако е необходимо (например, необходими са специални знания);

Получете одобрение от ръководството на компанията за провеждане на превантивни мерки;

Коригират, изясняват и контролират дейности;

Периодично преразглеждайте набора от мерки.

Същността на метода за намаляване на размера на загубатасе състои в провеждане на мерки, насочени към намаляване на размера на възможна загуба. Използването на този метод е оправдано в следните случаи:

Голямо количество възможни щети;

Вероятността рискът да бъде реализиран е ниска.

Възможно е да се използват следните методи за намаляване на размера на загубите: разделяне (разделяне) на активи, комбинации (комбинация) на активи и диверсификация.

Разделяне на активичесто намалява размера на възможните загуби в случай на нежелано събитие. Същността на този метод се крие в максималното намаляване на възможните загуби на събитие. Активите могат да бъдат разделени чрез физическо разделяне на самите активи чрез използване или чрез разделяне на активите по собственост.

Комбинация от активисъщо така прави загубите или печалбите по-предвидими чрез намаляване на броя на рисковите дялове, контролирани от едно търговско образувание.

Комбинацията от активи може да се случи на базата на концентрация на бизнеса чрез вътрешен растеж (например увеличаване на автомобилния парк). Но това може да се случи на базата на централизация на бизнеса, тоест при сливане на две или повече търговски фирми (новата търговска организация, като правило, ще има повече активи, повече служители и т.н.). Желанието за намаляване на загубите често е основната причина за сливането на фирми.

процес диверсификацияактиви и тяхното приложение се разбира в два аспекта: в широк и тесен.

Диверсификацията в широк смисъл се отнася до разширяването на обхвата на всяка организация.

Диверсификацията на производството трябва да се разбира като процес на навлизане на специализирани предприятия в нови сектори на материалното и нематериалното производство с цел осигуряване на стабилни условия на работа.

Един от най-удобните и разпространени начини за управление на риска е застраховка, което може да се отдаде на методи за намаляване и прехвърляне на рискове.

Същността на този метод на управление е да се намали участието на самото дружество в обезщетение за щети поради прехвърляне от него (застрахователната компания) на застрахователната компания (застраховател) на отговорност за поемане на риска.

Използването на този метод за управление на риска на ниво фирма е оправдано в следните случаи:

Ако вероятността за реализиране на риска, тоест възникване на щета, е ниска, но размерът на възможните щети е достатъчно голям. Независимо от хомогенността или хетерогенността на рисковете, както и от броя на рисковете (масови или единични), използването на застраховка в този случай е препоръчително;

Ако вероятността за реализиране на рискове е висока, но размерът на възможните щети е малък. Застраховката е оправдана, ако има много рискове.

Методите за застраховане се различават по начина, по който отговорността за риск се споделя между страните. Прави се разлика между пълна застраховка, която покрива целия специфичен риск, и частична застраховка, която ограничава отговорността на застрахователя, оставяйки част от риска на застрахования.

Има две големи групи методи за частично застраховане: пропорционални и непропорционални.

Под бдителния ни поглед, управленските дейности и анализ на риска, които използваме в нашата професионална дейност. В миналото, от последната ни среща, успяхме да подготвим следната статия.

Продължава точно сега...
Днес ще говорим за дейностите по управление на риска.

Въведение

Дейностите по управление на риска, като всяка сложна дейност, са сложен итеративен процес, който има свои собствени етапи, цели и задачи. Всеки етап има своя собствена цел, „взема“ / „получава“ данните, определени от „предварителната дейност“, като вход за своята дейност и формира крайния / междинен резултат на изхода.

Управлението на риска може да се дефинира на най-високо ниво чрез следната последователност от стъпки:

  1. Идентификация на риска;
  2. Оценка на вероятността от настъпване и мащаба на последствията, които могат да възникнат;
  3. Предварителен анализ и определяне на максимално възможните загуби;
  4. Избор на методи и инструменти за управление на идентифицирания риск;
  5. Разработване на рискова стратегия за намаляване на вероятността от реализация на риска и минимизиране на възможните негативни последици;
  6. Реализация на рисковата стратегия;
  7. Оценка на постигнатите резултати и коригиране на рисковата стратегия;
  8. Мониторинг на проблемните зони.

Отразената последователност от етапи е само далечно представяне на въпросната дейност и ще бъде допълнително детайлизирана и експертно разширена. Например, „стратегията за риск“, представена в този план, е просто набор от определени взаимосвързани процеси и документи, които отразяват същността на всички или някои етапи от управлението на риска.

Управлението на риска, както беше казано в първата статия, е доста млад отрасъл на дейност, в сегашното разбиране на неговите цели и задачи. Изучава степента на влияние върху различни области, процеси и т.н., както основни, така и косвени/свързани, на определени събития, които водят до появата на различни видове щети или печалба, и как може да се управлява или, в крайни случаи, , ръководство или контрол.

Управлението и анализът на риска е отделна област с добре дефинирана връзка с ИТ. Но в същото време би било неправилно тази област на работа да се нарече наука, но би било съвсем правилно да се говори за методология, която има свой собствен концептуален апарат, класификация, видове анализ и т.н.

От представената гледна точка основна отличителна черта на тази методика е терминологията. Това е смесица между дейности като информационни технологии, технологии, инженерство, теория на машините и механизмите, застрахователен бизнес и борсов бизнес и др. Съществуването на такава „химера” се е развило исторически, в съответствие с развитието на управлението на риска, и изисква широк поглед и многостранно разбиране не само на „приблизителната” същност на субекта, но и на неговите детайли, в противен случай професионалният рискува да бъде изоставен.разбиране на случващото се, което елиминира неговото участие в този процес.

Зад всеки термин, който ще бъде даден по-нататък в тази статия, се крие определен смисъл и история на развитието на първоначалните причини и следствия, които са придобили правото си на съществуване поради факта, че тяхната важност и продължителна релевантност се потвърждават от времето. и валидността на получените резултати, като успех или щета.

По този начин, за да се управлява и насочва компетентно развитието на рисковете, тъй като резултатът от риска може да бъде не само щета, но и ефективен резултат, е необходимо да се разберат подробно техните категории, класификации и видове. Уникалността на всеки риск се състои във факта, че причините, които ги пораждат, зависят от фактори като вида на дейността, в която се проявяват, средата на процеса или събитието, вида на технологията и т.н.

Въпреки факта, че обявихме, че управлението и анализът на риска е по-скоро методология, отколкото отделно научно направление в областта на информационните технологии, важността на възприемането и разбирането на основите, които са пряко свързани с привидно не-ИТ дисциплини, е една от компоненти на успеха при овладяване и прилагане на знанията по управление на риска в практиката.

Дефиниране на основни понятия

За да говорим с вас, скъпи колеги, на един и същ език (в края на краищата вече разбрахме колко важно е това), езикът на рисковата дейност, е необходимо незабавно да се споразумеете за условията, които трябва да знаете, за да за успешно овладяване и прилагане на знанията по управление на риска на практика .

От една страна, поради спецификата на предмета, който се изучава, е твърде рано да се говори за установената терминология в управлението на риска по отношение на информационните технологии. Разбира се, тази обективна ситуация е свързана с различни видове рискове, които са обект на разглеждане на нашата дисциплина. Но трябва да очертаем обхвата на нашето изследване, иначе ние с вас рискуваме (да, да, така е :)) да мислим за различни неща.

Дефиницията на риска беше дадена от нас в първата статия, но тук, за да формираме пълна картина на изследваната тема и изчерпателен поглед върху доста сложно понятие, ще го дадем отново:

Рискът е потенциалът за възникване на вероятно събитие/явление или комбинация от тях, които могат да причинят известно въздействие върху текущата дейност.

Предвид сложността и разнообразието от дисциплини, които „изпълват“ управлението на риска, препоръчително е да се даде алтернативна концепция за риска, дадена в един от учебниците по финанси и инвестиции:

Рисково събитие или група от свързани случайни събития, които причиняват щети на обект, който има даден риск.

Даденото „финансово“ определение на риска ни задължава да дешифрираме понятията, които са включени в него:

  • Случайността (много хора свързват концепцията за случайност и непредсказуемост, което не е напълно вярно) на настъпване на събитие означава невъзможност да се определи времето и мястото на неговото възникване.
  • Обект - материален обект или интерес, свойство на обект.
  • Повредата е влошаване или загуба на свойствата на даден обект.
  • Вероятността за събитие е знак за събитие, което означава, че е възможно да се изчисли честотата на възникване на събитие, ако има достатъчно количество статистически данни.

Така рискът, като самостоятелно събитие или част от по-голямо събитие, има две от най-важните свойства по отношение на управлението на риска – вероятност и щета.

Всяко събитие се генерира от определена причина или набор от причини. Такива причини се наричат ​​инциденти. Веригата от последователни етапи, които водят от първоначалния инцидент до крайното събитие, е сценарий на развитие. Познавайки вероятностите, довели до възникването на инциденти, е възможно да се установи последователност от междинни стъпки и да се изчислят вероятностите на сценария. Определящият фактор за овладяване на управлението на риска в информационните технологии е способността едновременно да се анализират, отчитат и синтезират, когато се разглежда конкретна ситуация или сценарий, следните три области:

  • Рисков домейн
  • Домейн за управление
  • Област на информационните технологии

Именно способността за едновременно свързване на тези на пръв поглед напълно различни по своята същност субекти от хуманитарен и технически характер допринася за успеха в развитието и практическото приложение на областта на управлението на анализа на риска. Способността да се разбират и разпознават инциденти, принадлежащи към различен „естество“ на възникване, и умението за изграждане на сценарии, чиито различни етапи и стъпки принадлежат към различни области, е важна характеристика на специалист от висок клас в управлението на риска.

Управление на риска на примера на съвременни методи

Днес много популярни и фундаментални ИТ методологии от области като управление на проекти (PMBOK), анализи (BABOK), ИТ одит (COBIT), сервизни дейности (ITIL), разработка на софтуер (MOF) и др., се опитват да осигурят инструмент, който би могъл да предложи ефективен алгоритъм за управление и анализ на риска. Следните методи са такива „инструменти“ за различни дейности от областта на информационните технологии: CORAS, OCTAVE, CRAMM, MOF управление на риска, Risk it и др. Представените процеси са основните от гледна точка на търсене и използване, така че ще ги разгледаме всички и ще се опитаме да разберем спецификата на всеки.

Кратък преглед на методологиите за управление на ИТ риска:

CORAS

Той е разработен в рамките на западната програма „Технологии на информационното общество“. Целта на тази методология е да адаптира, прецизира и комбинира такива основни методи за анализ на риска като Event-Tree-Analysis, Markov вериги, HazOp и FMECA.

CORAS използва UML технология и се основава на австралийския/новозеландския стандарт AS/NZS 4360: 1999 Управление на риска и ISO/IEC 17799-1: 2000 Кодекс за практика за управление на информационната сигурност.

В CORAS информационните системи се разглеждат не само от гледна точка на използваните технологии, а от няколко ъгъла, по-точно като сложен комплекс, в който се отчита и човешкият фактор. Правилата на тази методология се реализират под формата на Windows и Java приложения.

ОКТАВА

Методологията OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) е разработена в Института за софтуерно инженерство към университета Карнеги Мелън (алма матер на много съвременни ИТ методологии и области на софтуерно инженерство) и осигурява активно включване на собствениците на информация в процеса на идентифициране на критични информационни активи и рисковете, свързани с тях.

Ключови елементи на OCTAVE:

  • идентифициране на информационни активи, подложени на риск и щети;
  • идентифициране на заплахи за критични информационни активи;
  • идентифициране на уязвимости, свързани с критични информационни активи;
  • оценка на рисковете, свързани с критични информационни активи.

OCTAVE осигурява висока степен на гъвкавост, постигната чрез избор на критерии, които предприятието може да използва, когато адаптира методологията към собствените си нужди. Методологията е разработена за използване в големи компании и нарастващата й популярност доведе до създаването на версия на OCTAVE-S за малки предприятия.

OCTAVE не предоставя количествена оценка на риска, но може да се използва качествена оценка при определяне на количествената скала на тяхното класиране. Оценката може да включва различни рискови области, които, с изключение на технически и правни рискове, не са пряко включени в методологията. Те се отчитат косвено при интервюта със собствениците на информационни активи, по време на които става ясно какви последствия могат да настъпят при реализиране на заплахи.

CRAMM

Методологията CRAMM (CCTA Risk Analysis and Management Method) е разработена от Британската централна компютърна и телекомуникационна агенция през 1985 г. и се използва както за големи, така и за малки държавни и търговски организации. CRAMM включва използването на технологии за оценка на заплахи и уязвимости от косвени фактори с възможност за проверка на резултатите. Той съдържа механизъм за моделиране на информационни системи от гледна точка на сигурността, използвайки обширна база данни от превантивни мерки за намаляване/елиминиране на въздействието на рисковете. CRAMM е насочена към подробна оценка на рисковете и ефективността на комбинациите от различни контрамерки, предназначени да бъдат използвани.

Модел на риска на MOF (модел на риска на MOF)

Тази методология заслужава специално внимание. Ще му отделим малко повече материал и вашето време.

Най-често се среща в този моментвреме и дефинира основните етапи на управление на риска, които ще бъдат разгледани в отделна статия в бъдеще (наистина разчитаме на това), но които ще споменем тук:

  • Идентифициране на рисковете - определяне на причините за риска, условията за възникването му, последствията;
  • Анализ на риска - оценка на вероятността от риск и увреждане на информационната система и бизнеса;
  • Планиране на действията - дефиниране на действия, позволяващи напълно да се избегне рискът или да се намали влиянието му. Той също така разработва план за действие в случай на риск;
  • Проследяване на риска – събиране на информация за промени, за определен период от време, на различни елементи на риск. Ако рискът се счита за незначителен за известно време, той трябва да бъде изключен от списъка с рискове. Ако въздействието на риска се е променило, трябва да преминете към етапа на анализ, за ​​да преоцените това въздействие.
  • Контрол (Control) - изпълнението на планирани действия като отговор на настъпването на рисково събитие.

Ако разгледаме модела за управление на риска в изолация от стандартите, където се използва (ITIL, MOF и др.), тогава можем да видим относително плитък, но фундаментален поглед върху модела за управление на риска. Например, такава методология като CRAMM съдържа по-подробни инструкции относно механизмите за оценка на риска, а BASEL II (споменат в първата статия) описва по-подробно въпросите за организиране на система за управление на риска в една компания.

COBIT 5 за риск (RiskIT)

Този стандарт разглежда подхода към управлението на риска от два аспекта: функция на риска и управление на риска.

В първия случай се говори за това, което трябва да имате в една организация, за да изградите и поддържате система за управление на риска. Във втория, ние правим преглед на ключови процеси на управление и управление за оптимизиране на риска и редовни процедури за идентифициране, анализ, реакция и отчитане на риска.

Както вече разбрахте, няма единен и централизиран поглед върху управлението на риска в ИТ сферата. Множеството стандарти и методи се обуславя преди всичко от спецификата на анализа и управлението на риска в приложение към определени индустрии и ресурси, които могат да бъдат изразходвани за тяхното прилагане. Но всеки от описаните методи има право да „бъде“ само защото е доказал своята стойност не само като „книжни“ ценности, но и като специфична и ефективен инструментдейности. Всички горепосочени методи всъщност решават един и същи тип проблеми, породени от сходни причини и насочени към минимизиране на щетите от възникването на риск или принципното му елиминиране, но са „заточени“ за различни видове организации и процеси в които се планира да елиминират или минимизират рисковете. От изброените методи най-универсалният без съмнение е MOF, който с различна степен на адаптация може да се използва във всякакъв вид дейност, докато останалите в по-голямата си част са специализирани инструменти, които изискват различна степен на внимание и различни ресурси. При желание всеки от вас може да намери по-подробна информация за методите, очертани в "глобалната мрежа".

Актуалността на дейностите по управление на риска днес

Към днешна дата информационните технологии предоставят разнообразни инструменти за поддържане и развитие на всякакъв вид специална дейност, независимо от нейната специфика и други характеристики, независимо дали е тясно насочен вид електронен бизнес, образование или често използван вид бизнес услуги.

Високите технологии позволяват да се повиши ефективността на вече съществуващите процеси, да се превърнат в основа за създаване на нови, но в същото време, ако се използват неуправлявано, те се превръщат в източник на огромни рискове, които в случай на "припокриващи се", могат да бъдат източници на много "възникващи" резултати. Добре известен факт е, че дейностите по управление на риска в повечето страни са в особено плачевно състояние тази посоканаблюдавани в Руската федерация, те се третират като ненужно съкращаване, което напоследък се превърна в „модна“ посока на дейност, която трябва да се следва „както ли“ поради много фактори. Но реалностите съвременни условияса такива, че при сегашния темп на развитие на съвременния свят (прогнозира се, че тези темпове само ще растат), практически е невъзможно да се предвидят, идентифицират и отстранят пълния набор от възможни проблеми за IP (най-динамично променящата се индустрия) , независимо какъв вид работа се извършва: въвеждане на нови софтуерни продукти и комплекси, поддръжка и развитие на съществуващи или извеждане от експлоатация на остарели, последвано от процес на миграция на информация, която е критична за конкретна организация. В такава среда е вид дейност, която е насочена към проактивна и превантивна дейност в контекста на разрешаване/превенция/елиминиране и т.н. възникващите задачи и проблеми стават особено важни. Този вид дейност е посоката на анализа и управлението на риска, което се потвърждава от активното нарастване на базата от стандарти и методи, при които работата с рисковете се разглежда изцяло или частично. Примерите включват следните методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и др.

Чести причини за рискове

В основата на всяка конструктивна дейност е ясното разбиране на целите, задачите и ресурсите, които са необходими за постигане на крайния резултат.

Колкото по-сигурни и недвусмислени са тези фактори, толкова по-ниска е степента на несигурност, която потенциално може да повлияе на постижимостта на целта. Въз основа на това е абсолютно очевидно, че основната причина за всеки риск е степента на несигурност, която е присъща на тези постулати, които са рамката на процеса или проекта, който инициира дейността, която разглеждаме. Доколко очевидни са нашите проблеми и ресурсите, които се отделят за решаването им, определя рисковостта на нашата дейност. Несигурните задачи, априори, са обречени на факта, че възможността за съставяне и прилагане на жизнеспособен план за тяхното разрешаване е „пробване“ с пръст „на никъде“.

По-голямата неопределеност на условията както на външната, така и на вътрешната среда води до това, че ресурсите, отделяни за преодоляване на тези условия, трябва да бъдат с възможно най-високо качество. Много негативни фактори и причини могат да бъдат предвидени и „изкоренени” само въз основа на опита на специалисти с високи умения за управление на риска, но това едва ли може да се счита за предвидим фактор, който трябва да се използва при изграждането на система за управление на риска. Проблемът с "ограничаването" на ресурсите е проблем, който води до недостиг на производителност.

При изпълнение на проекти с висока степен на несигурност е необходимо да се обърне повишено внимание на често използваната система за анализ и управление на риска. Такава система трябва да отчита спецификата както на дейностите, в които протичат процесите, свързани с рискове, така и на организационния компонент на проекта и организацията, в която се осъществява.

Организационният компонент и вниманието, което се отделя на работата с рисковете, е отделна тема и област на дейност, която, за съжаление, в Русия се отдава на оскъдни разходи. Пример за това може да бъде, че много документи с насоки не разглеждат аспекта на рисковете по принцип, тяхното приемливо ниво и отговорност за приемане на определено ниво на рискове.

Това не е така в развитите страни. Например в американския речник по сигурността можете да намерите термина Designated Approving Authority - това е лице, упълномощено да взема решение за приемливостта на определено ниво на рискове, което показва качествено различно отношение към анализа и управлението на риска, което в нашите страната, разбира се, в крайна сметка ще дойде, но харчи много безполезни ресурси за това.

Участието на всички служители на всички нива от структурната йерархия на всяко предприятие в дейностите по анализ на риска и по-близкото отношение от страна на ръководството биха могли радикално да променят песимистичните тенденции, които се развиват от години в тази област и по този начин да доведат до основните процеси на ИТ индустрията на качествено ново ниво.

Ясното разбиране на целите и задачите на извършваните дейности помага да се идентифицират и минимизират огромния брой причини, които водят до рискове.

Цели и задачи на управлението на риска

Дейностите по анализ и управление на риска трябва да се основават на ясна, категорична и недвусмислена визия защо е необходимо за даден конкретен субект да се анализират и управляват рисковете. Без ясно дефиниран план (в идеална ситуация, произтичаща от стратегия за развитие) е много трудно, а понякога дори невъзможно да се оценят и правилно идентифицират информационните рискове. Успехът на тези дейности ще зависи само от квалификацията на обслужващия ги персонал, което беше обсъдено малко по-рано. Трябва да се отбележи, че няма единен възглед и стандарт/заповед/регулация, която да описва и предлага начин за решаване на всички очевидни и потенциални проблеми.

Всяка ситуация, всеки процес се състои от много елементарни обекти. Тези компоненти трябва да бъдат подложени на процедурата за анализ. Детайлността на разглеждането на конкретна частица зависи от стойността на приноса на въпросния обект към резултата от дейността.

Колкото по-сложни и многостранни процеси разглеждаме, толкова по-важно е детайлното предварително проучване на обхвата на дейността, методологията, при която може да възникне рискът и прилагането на най-добрите практики и методи, признати и изпитани по-рано в работата по тях.

Разбирането на целите помага за съзнателното контролиране на всички разглеждани процеси, разбирането на дадената тенденция и допустимите отклонения по нейния „път“.

Основната цел в дейността по анализ на риска е предоставянето на най-пълна и достатъчна информация за адекватно управление на риска.

Под управление е по-правилно да се разбира не „мениджмънт” като специфична функция на управлението, а като самата дисциплина „управление”, която включва 5 процеса:

  • Контрол
  • Посвещение
  • Планиране
  • производителност
  • Мониторинг и контрол

Процесът на усъвършенстване, който напоследък получи най-бързо развитие поради разпространението на процесния подход към организиране на дейностите, не е напълно правилно да се разглежда тук. Причината за това е, че рисковият компонент трябва да бъде „загасен“ с течение на времето по време на процесите на анализ и управление.

Дейността по анализ предполага изпълнението на част от дейността по подобрение поради факта, че навременно изградената система от показатели за основните „недостатъчни“ компоненти на процес или проект на етап мониторинг и контрол значително ще намали разходите за този компонент и директно ги в по-градивна посока.

Резултатът от етапа на анализ са изчерпателни количествени и качествени данни, постъпващи на „входа“ на етапа на управление. Резултатът от този етап е резултат без риск или „контролируем риск“.

Прилагането на горните тези ще бъде възможно, когато всеки субект, участващ и взаимодействащ с обект в риск, осъзнае важността и необходимостта от участието си в работата с рискове, появата на които дори хипотетично е възможна.

Разбирането и участието в управлението на анализа на риска и навременното ескалиране на възникващи проблеми и задачи, на всички йерархични нива на всяка организация, ще ви позволи да постигнете целите си.

След като целите и задачите бъдат поставени, приети и недвусмислено разбрани от всички участници, следващата стъпка в справянето с рисковете е тяхното идентифициране (в плановете следващата статия ще бъде посветена на идентифицирането на риска). Основата на процеса на идентификация е категориалната база, която е инструмент за приписване на риск към определен клас или група рискови категории. „Поставянето“ на риска в правилната категория е гаранция, че в бъдеще работата по обработката на наличната информация за него и разработването на по-нататъшен алгоритъм за работа по него ще премахне или намали размера на щетите от възникването му.

Класификация и категории рискове

В настоящия момент в развитието на областта на рисковете в информационните технологии е уместно да се говори за многократна типизация на рисковете. Индустрията на информационните технологии има набор от рискове, които са най-характерни за рискове, свързани с високотехнологични и сложни дейности, които включват различни видове процеси. Съвкупност от рискове, специфични за определен вид дейност, се нарича набор от рискове.

Когато става въпрос за комплекса, тогава, използвайки техническата терминология, може да се каже, че рисковият комплекс е „взаимно пресичаща се съвкупност“ между всички съществуващи рискови комплекси. Въпреки рекурсивността на полученото определение, то най-ясно изразява същността на понятието рисков комплекс.

Комплексите от рискове са характерен компонент за индустрията, финансовата и инвестиционната сфера, търговията, кредитирането и, разбира се, областта на информационните технологии. По този начин, колкото по-сложен и сложен вид дейност, разположен на „пресечната точка” на различни практически и теоретични области, считаме, толкова по-сложни и многостранни ще бъдат рисковете.

Информационните рискове, възникващи в процесите и проектите, се различават по мястото и времето на възникване, съвкупността от външни и вътрешни фактори, които влияят на тяхното ниво и следователно по начина на тяхното анализиране и методите на първично и последващо описание.

По правило всички видове рискове са взаимосвързани и възникващи, следователно влияят върху дейностите, извършвани не само сами, но и в съвкупност.

Промяната в един вид риск може да предизвика промяна в повечето от другите, които са в определен комплекс. Класификацията на риска означава систематизиране на набор от рискове въз основа на някои признаци и критерии, които позволяват комбиниране на подмножества на риска в по-общи понятия.

Най-важните елементи, залегнали в основата на класификацията на риска, са:

  • време на възникване;
  • характер;
  • фактори на възникване;
  • последствия;
  • и т.н.

Според времето на възникване рисковете се разделят на ретроспективни (минали), настоящи и проспективни (бъдещи) рискове.

Анализът на ретроспективните рискове, тяхното естество и методи за намаляване позволява по-точно да се предвидят настоящите и бъдещите рискове, да се предвиди възможният характер на тяхното възникване и съответно да се управлява.

По своята същност рисковете се делят на:

  • Външни рискове. Те включват рискове, които не са пряко свързани с дейността на предприятието или взаимодействащата с него среда (дейностите на доставчици, свързани компании, външни разработчици, аутсорсинг и консултантски компании, партньори и др.).
  • Вътрешни рискове. Те включват рискове, породени от дейността на самото предприятие и неговата аудитория (рискове, свързани с квалификацията на персонала, ИТ инфраструктурата, използваните технологии и др.).
  • Организационни рискове (ИЛИ). RR са рисковете, свързани с грешките на ръководството на компанията, нейните служители; системни проблеми вътрешен контрол, лошо разработени правила за работа, тоест рисковете, свързани с вътрешната организация на работата на компанията.
  • Процесни рискове (PR).. PR е подраздел организационни рискове. Този вид риск е характерен за определени видове процеси. Те са свързани както с изпълнението на отделен процес, така и с процеси, чиито дейности са свързани помежду си от функциите, които изпълняват (кръстосани процеси).
  • Проектни рискове (PRR). PRR са рискове, които характеризират степента на опасност за успешното изпълнение на проекта като цяло или отделните му етапи.
  • Оперативни рискове (OPR).. ОПР са рисковете, свързани с изпълнението на определени бизнес операции от дадена организация.

Трудно е да не се забележи, че класификацията по фактор на възникване е „матрьошка“. Влагането на фактори съответства на разпределението на елементите в модела на процеса на всяка компания, докато всяка от разглежданите рискови групи има „вътрешни” класификации, които могат да бъдат разложени и разширени до нивото, необходимо за проследяване и контрол на определен тип риск.

Според последствията рисковете се разделят на:

  • Чистите рискове (понякога наричани също прости или статични) се характеризират с факта, че почти винаги носят загуби за предприемаческа дейност. Причините за чистите рискове могат да бъдат природни бедствия, войни, аварии, криминални прояви, неспособност на организацията и др.
  • Спекулативните рискове (понякога наричани също динамични или търговски) се характеризират с факта, че могат да носят както загуби, така и допълнителна печалба за предприемача спрямо очаквания резултат. Причини за спекулативни рискове могат да бъдат промени в пазарните условия, промени във валутните курсове, промени в данъчното законодателство и др.

Говорейки за последствията от възникването на рискове, е необходимо да се отдели отделна класификация според степента на последствията от възникването на рискове. Тази „подкласификация“ е много важна за вземане на решения относно осъществимостта на дейност, свързана с риска:

  • приемлив риск. Това е рискът от решение, в резултат на което, ако не бъде изпълнено, е възможно „непостигане” на поставената цел на дейността. В рамките на тази зона дейността запазва икономическата си целесъобразност, т.е. има загуби, но те не надвишават очакваната стойност.
  • критичен риск. Това е риск, при който е възможна загуба на цялата или част от стойността на резултата; тези. зоната на критичния риск се характеризира с опасност от загуби, които очевидно надвишават възможния резултат и в екстремни случаи могат да доведат до загуба на всички средства, инвестирани в проекта.
  • катастрофален риск. Това е риск, при който има пълна загуба на стойност и е възможно субектът на риска да понесе допълнителни разходи. Тази група включва и всеки риск, свързан с пряка опасност за живота или по-нататъшната дейност на хората.

Успехът при приписването на риск на един или друг елемент от тази класификация директно зависи от много фактори, за пълнота на изгледите могат да се разграничат 2 от тях:

  • Количествена степен на познаване и сигурност на определен вид риск
  • Квалификация, умения, опит, „прозорливост” на рисков мениджър, който взема решение за изпълнение на рискови дейности.

Ако говорим само за втория фактор, тогава, както беше отбелязано по-рано, е трудно да се каже, че компанията е изградила висококачествена система за управление на риска.

Успехът на една такава организация зависи само от конкретни специалисти, които представляват "организация в една организация". Като правило, когато такива специалисти напуснат, управлението на риска на предприятието претърпява пълен колапс. Без добре изградена система, която се основава на процесен модел с постоянно измерване на резултата от дейностите, според определени показатели за успех, в съвременния свят на високите технологии резултатът ще бъде доста трудно постижим. Но повече за това по-късно, в специална статия.

Обобщавайки темата за класификацията на риска, трябва да се спомене, че представената тук класификация не претендира за пълна и достатъчна. Във всяка дейност може да има рискове, които са отпечатани и резултатите от специфичните дейности на конкретно предприятие. Проявата на рискове в тях е възможна и уникална, единична или присъстваща в групови случаи, в зависимост от конкретната среда и ясно определени параметри на дейността на една организация. Такива рискове трябва да се разглеждат отделно, в съответствие със системата за анализ и управление на риска, създадена за нуждите на това конкретно предприятие.

Преди да се извърши класификация на риска, е необходимо правилно да се идентифицират и разберат предпоставките, които могат да доведат до възникване или проява на риск. Етапът на анализ на риска, който позволява извършването на такава дейност, е идентифициране на риска. Точността на избрания метод на работа и минимизирането на по-нататъшни възможни или очевидни щети зависи от това колко правилно и далновидно е извършено идентифицирането на риска.

заключения

Завършихме кратко обобщение на посоката на анализа и управлението на риска, очертавайки накратко границите на тази дейност. Тук се опитахме да запознаем накратко колегите с разнообразието от видове, видове и въз основа на тях класификацията на рисковете, чието възникване по същество, както показахме, в повечето случаи се улеснява от несигурността на началните условия или ресурси.

По-нататък ще преминем към детайлно разглеждане на предварителния етап на анализа на риска – процеса на тяхното идентифициране и свързаните с него методи и методологии.

Пожелаваме на нашите колеги подобрение в работата им с/по ИТ рисковете.

Всичко най-добро и до скоро!

Ключът към оцеляването и основата на стабилната позиция на предприятието е неговата стабилност. Има обща, ценова, финансова и други видове устойчивост. Финансова стабилносте основният компонент на цялостната устойчивост на предприятието. Финансовата стабилност на предприятието е такова състояние на неговите финансови ресурси, тяхното преразпределение и използване, когато се осигурява развитието на предприятието на основата на собствената му печалба и нарастването на капитала, като се поддържа неговата платежоспособност и кредитоспособност при условия на приемливо ниво на финансов риск.

Целта на управлението на финансовия риск- намаляване до минимум на загубите, свързани с този риск. Загубите могат да бъдат оценени в парично изражение, а също така се оценяват стъпките за предотвратяването им. Финансовият мениджър трябва да балансира тези две оценки и да планира как най-добре да приключи сделката от позиция за минимизиране на риска.

В зависимост от обекта на въздействие, методите за защита срещу финансови рискове могат да бъдат класифицирани в два вида: физическа и икономическа защита. Физическата защита се състои в създаването на такива средства като аларми, закупуване на сейфове, системи за контрол на качеството на продуктите, защита на данните от неоторизиран достъп, наемане на охранители и др.

Икономическата защита се състои в прогнозиране на нивото на допълнителните разходи, оценка на тежестта на възможните щети, използване на целия финансов механизъм за премахване на заплахата от риск или последствията от него.

Нека разгледаме някои аспекти на организацията на работата по управление на риска, преди всичко финансово.

Методи за управление на финансовия риск

Литературата предоставя четири метода за управление на рискаКлючови думи: елиминиране, предотвратяване и контрол на загуби, застраховка, поглъщане.

Премахването е отказът да се извърши рисково събитие. Но за финансовото предприемачество елиминирането на риска обикновено елиминира печалбата.

Предотвратяването и контролът на загубите като метод за управление на финансовия риск означава определен набор от превантивни и последващи действия, които се дължат на необходимостта да предотвратите негативни последици, да се предпазите от аварии, да контролирате техния мащаб, ако загубите вече са настъпили или са неизбежни.

Същността на застраховката се изразява във факта, че инвеститорът е готов (да се откаже от част от приходите, само за да избегне риска, т.е. готов е да плати за намаляване на риска до нула.

Застраховането се характеризира с предназначението на създадения паричен фонд, изразходването на неговите ресурси само за покриване на загуби в предварително определени случаи; вероятностен характер на връзката; връщане на средства. Застраховането като метод за управление на риска означава два вида действия:

1) преразпределение на загубите между група предприемачи, изложени на същия вид риск (самоосигуряване);

2) търсене на помощ от застрахователна компания.

Големите фирми обикновено прибягват до самоосигуряване, т.е. процес, при който организация, често изложена на същия вид риск, заделя предварително средства, от които в резултат покрива загуби. По този начин можете да избегнете скъпа сделка със застрахователната компания.

Когато застраховката се използва като услуга на кредитния пазар, това задължава финансовия мениджър да определи приемливото за него съотношение между застрахователната премия и застрахователната сума. Застрахователната премия е плащане за застрахователния риск на застрахования към застрахователя. Застрахователната сума е паричната сума, за която са застраховани материалните активи или отговорността на застрахования.

Поглъщането се състои в разпознаване на щетата и отказ да се застрахова. Прибягва се до усвояване, когато размерът на предполагаемата вреда е незначително малък и може да бъде пренебрегнат.

При избора на конкретно средство за разрешаване на финансов риск, инвеститорът трябва да изхожда от следните принципи:

не можете да рискувате повече, отколкото собственият ви капитал може да си позволи;

човек не може да рискува много заради малкото;

последствията от риска трябва да бъдат предвидени.

Прилагането на тези принципи на практика означава, че винаги е необходимо да се изчисли максималната възможна загуба за даден вид риск, след което да се сравни с размера на капитала на предприятието, изложено на този риск, и след това да се сравни цялата възможна загуба с общата сума на собствените финансови средства. И само като направите последната стъпка, можете да определите дали този риск ще доведе до фалит на предприятието.

Процес на управление на риска

Процесът на управление на риска може да бъде разделен на шест етапа:

определяне на целта,

установяване на риска

оценка на риска,

избор на методи за управление на риска,

прилагане на избрания метод,

резултати от оценката.

От гледна точка на финансовия риск, дефиницията на целта е да се осигури съществуването на дружеството в случай на значителни загуби.

Целта може да бъде защита на дейността на предприятието от условия на околната среда или оптимизиране на вътрешната среда. Като външна среда на предприятието разгледайте долната група фактори: пряко и косвено въздействие.

Факторите на пряко въздействие включват доставчици, купувачи, конкуренти, държавата. Факторите на непряко въздействие включват състоянието на икономиката, социално-културни фактори, политически фактори, постижения на научно-техническата революция, международни събития.

Положителните фактори на вътрешната среда включват наличието на специална услуга за „икономическа сигурност“, система за „икономическо предупреждение“, която предотвратява непредвидени разходи.

Следващата стъпка е да разберем риска чрез събиране на различна информация и използване на официални и неформални канали. В допълнение към финансовите отчети и бизнес плановете, официалните източници на информация включват информация, получена от периодични издания, радио, телевизия и др. Неофициалната информация включва получените данни! чрез индустриален шпионаж.

Анализ (оценка) на риска. След като е възникнала загуба, следващата стъпка е да се определи нейната тежест.

Избор на методи за управление на риска. В съответствие с резултатите от предишни проучвания се избира един или друг метод за управление на риска. Възможна е и комбинация от няколко метода.

Прилагане на избрания метод - приемането на конкретни стъпки за прилагане на определен метод. Напримерако е избрана застраховка, тогава тази стъпка е закупуване на застрахователна полица. В същото време се избират различни застрахователни компании в зависимост от тяхната специализация в областта на застрахователните рискове, след което се избира оптималната форма на застрахователна полица по отношение на време, цена и сигурност.

В допълнение към застраховката всяка стратегия за управление на рискавключва програма за предотвратяване и контрол на загуби. Всяка функция на финансовото управление е включена в това: планиране, организиране, насочване и контрол.

Обмисли, например, ролята на планирането като управленска функция във връзка с управлението на финансовия риск. Един от елементите на вътрешнофирменото планиране е бизнес план, в структурата на който има раздел "Оценка на риска".

Този раздел от бизнес плана представя инструмент за управление на риска на предприятието. Важно е да се предвидят всички възможни видове рискове, пред които може да се сблъска един предприемач, да се обосноват източниците на тези рискове и всички възможни моменти на тяхното възникване. Разделът е насочен към изучаване не само на финансови, но и на други рискове (например политически, законодателни, природни (природни бедствия) и др.). Разделът на бизнес плана "Финансов план" е паричен израз на всички изчисления, съдържащи се в предишните раздели на бизнес плана. Всички рискове, представени в раздел „Оценка на риска”, намират своя паричен израз във финансовия план и влияят върху общата степен на финансов риск. По-долу ще дадем някои типични изчисления, които се извършват при съставянето на този раздел от бизнес плана.

Прилагането на лимити по отношение на показателите за финансовите ресурси на бюджета на предприятието е конкретен израз на резултатите от планирането на риска. Ограничението е поставяне на лимит, т.е. лимити за разходи, продажби, кредит и др. Ограничението служи като важно средство за намаляване на степента на риска и се използва например от банките при отпускане на заеми и от предприятията в сферата на обръщението при продажба на стоки на кредит и др.

Организационна функция на финансовото управление и управлението на риска. Много големи фирми наемат специалисти по сигурността. Тези мениджъри планират стратегията за управление на риска на фирмата, сключват застрахователни договори и насочват усилията на фирмата за контрол на загубите. Техните функции надхвърлят обикновената застраховка. Например, те дават: съвети как да защитите застрахователните плащания от инфлация, изберете начини за избягване на загуби. В средните фирми, където няма специалист по сигурността, функциите на финансов мениджър (финансов директор) включват и отговорността за управление на финансовите рискове, поради което те трябва да планират методи за управление на финансовите и особено инвестиционните рискове. В малките фирми това е една от функциите на собственика.

Контролна функция на управление и управление на риска.

Управлението за предотвратяване на загуби в много отношения е подобно на управлението на производителността и качеството. Става дума за лидерство под формата на действия, а не за вербално влияние в съответствие с общата теория на управлението, която се основава на доверие и задължения на ръководството към служителите, сключване на договор със синдиката (тъй като безопасността на служителите е от първостепенно значение за синдикати). Концепцията за финансов мениджмънт се основава на „недоверие към собствените ни служители“ и „ограничено доверие“ във вътрешната финансова информация (от това следват най-важните принципи за изграждане на система за вътрешен финансов контрол).

Следващата (и последна) стъпка в процеса на управление на финансовия риск е оценка на резултатите. Това изисква добре функционираща система от точна информация, която дава възможност да се вземат предвид съществуващите загуби и предприетите действия за предотвратяването им.

Понякога инвеститорът взема решения, когато резултатите са несигурни и се основават на ограничена информация. Естествено, с по-пълна информация можете да направите по-добра прогноза и да намалите риска. В такъв случай полезна информациядейства като стока. Цената на пълната информация се изчислява като разлика между очакваната цена на придобиване, когато е налична пълна информация, и очакваната цена, когато информацията е непълна. Целта на анализа на риска като един от най-трудните етапи на управлението на финансовия риск е да предостави на потенциалните партньори данни за вземане на решения относно осъществимостта на участие в проекта и възможността за осигуряване на мерки за защита срещу финансови загуби.

При извършване на анализ на риска на първо място е необходимо да се определят техните източници и причини, кои от тях са основните, преобладаващи. Източници на риск могат да бъдат икономическа дейност, човешката личност, природни фактори. Причините включват липса на информация, несигурност за бъдещето, непредсказуемост на поведението на бизнес партньор.

Анализът на риска се разделя на два взаимно допълващи се типа: качествен и количествен.

Качественият анализ е идентифицирането на всички възможни рискове. Качественият анализ може да бъде сравнително прост, основната му задача е да идентифицира рисковите фактори, етапите на работа, по време на които възниква рискът и др.

При извършване на анализ на риска трябва да се определи степента на риска. Рискът може да бъде:

допустимо - съществува заплаха от пълна загуба на печалба от изпълнението на планирания проект;

критично - възможно е неполучаване не само на печалби, но и на приходи и покриване на загуби за сметка на средствата на предприемача;

катастрофални - възможни са загуба на капитал, имущество и фалит на предприемача.

Количественият анализ е дефиницията на конкретни парични щети за отделни подвидове финансов риск и финансов риск в съвкупност.

Понякога се извършват качествени и количествени анализи въз основа на оценка на влиянието на вътрешни и външни фактори: извършва се оценка по елемент специфично тегловлиянието им върху работата на това предприятие и неговото парично изражение. Този метод на анализ е доста трудоемък от гледна точка на количествения анализ, но носи своите несъмнени резултати в качествения анализ. В тази връзка трябва да се обърне по-голямо внимание на методите за количествен анализ на финансовия риск, тъй като те са много и за тяхното компетентно прилагане са необходими определени управленски умения.

В абсолютно изражение рискът може да се определи от мащаба на възможните загуби в материално (физически) или разходно (парично) изражение.

В относително изражение рискът се определя като възможни загуби, свързани с определена база, за която е най-удобно да се вземе или имущественото състояние на предприятието, или общите разходи за този вид предприемаческа дейност.

изпълнителен директор на RusRisk,
Доцент доктор. Шемякина Т. Ю.

Осъзнаването на важността на управлението на риска идва и в руския бизнес.

Както знаете, рискът се разбира като вероятността за получаване на неблагоприятен резултат, който може да доведе до загуби, и следователно управлението на риска трябва да включва процесите на идентифициране, оценка и оптимизиране на нивото му с последващо наблюдение.

Според списанията "Управление на риска" и "Компания" през последните три години търсенето на специалисти в областта на управлението на риска се е увеличило почти седем пъти. Пазарът на тези услуги нараства поне с десетки процента годишно, предприятията обръщат все повече внимание не на текущите проблеми, а на възможните утрешни рискове.

Спецификата на сегашното възприемане на възможните заплахи от руския бизнес може да бъде илюстрирана от данните от проучването.

Източник: Доклад от конференцията "Застраховане и презастраховане в системата за управление на риска" голям бизнес”, организирана от Руската информационна група за политиката с подкрепата на Руското общество за управление на риска (RusRisk).

Според списание Risk Management следните рискове ще станат най-значими през следващите пет години (в низходящ ред):

  • репутация,
  • регулаторен,
  • рискът от пропускане на стратегически възможности за бизнес развитие и опасностите, свързани с доставчиците на аутсорсинг услуги,
  • политически рискове,
  • рискове на стратегическото партньорство,
  • последици от изменението на климата,
  • ИТ заплахи от ново поколение,
  • риска от пандемии
  • икономическа нестабилност,
  • терористична заплаха,
  • нарастване на организираната престъпност
  • засилена конкуренция от чужбина.

Експертното проучване „Оценка на развитието на управлението на риска в Русия“ идентифицира основните проблеми за повишаване на нивото и качеството на управление на риска (посочен е % от броя на респондентите):


Източник: сп. Руски Полис.

Според проучване на британското списание StrategicRISK, в бъдеще много въпроси ще се решават извън традиционните начини за прехвърляне на рискове. След пет години управлението на риска ще се съсредоточи основно върху управлението на оперативния риск.

По-агресивен подход към управлението на риска, за разлика от простото намаляване на риска, ще се използва по-широко. Значителна част от отговорността ще бъде прехвърлена на преките ръководители. Ролята на мениджърите на риска ще бъде преди всичко да координират анализа на риска, предотвратяването на загуби и стратегиите за прехвърляне на риска. Управлението на риска ще се възприема като специализирана дейност, която не попада в компетенциите на одиторите, а рисковите мениджъри ще получат по-висок статус в организацията - на ниво борд на директорите - и ще могат да се справят с по-широк кръг на въпроси, свързани със стратегическото планиране, развитието на политиката на организацията, производството, управлението на качеството и вземането на решения.

Професия риск мениджър

Преди двадесет години, като мениджъри на риска, президентите на компании се стремяха да наемат професионалисти в застрахователния бизнес, които да действат като буфер между управлението на компанията и загадъчния свят на застрахователите. Според доклада на Tillinghast-Towers Perrin „Управление на риска в предприятието: тенденции и нововъзникващи практики“, типичните съвременни мениджъри на риска в предприятията не са силно специализирани в управлението на риска – кариерата им се развива в повечето случаи в по-общи управленски функции (включително брой – вътрешен одит). Това потвърждава, че риск-мениджърът трябва да има превантивното мислене на главния стратег и треньора.

В областта на управлението на риска се формира и професията специалист риск мениджър. Специалистите по идентифициране, анализ, наблюдение и специфични видове риск помагат за формиране и обосноваване на интегрирана програма за управление на риска.

В търговски, финансови, държавни организации, образователни институции, в почти всички организации, рисковите мениджъри са работили основно със застраховани рискове. В същото време линейните мениджъри се интересуват предимно от бизнес рискове като конкурентна, оперативна и персонална несигурност. От това следва, че всяко управление в бизнеса е по един или друг начин управление на риска, а всеки прекиен мениджър до голяма степен е риск мениджър.

В пазарното общество фирмата е тази, която е отговорна за изплащането на всички щети, настъпили поради нейното действие или бездействие. И искове за такива щети могат да бъдат значителни. В днешния свят всеки служител до голяма степен се превръща в мениджър на риска, самото управление на риска в добре управлявана компания се превръща в „споделена колективна професия“. Именно този подход ни позволява да разрешим противоречието между разширяването на потребността от рискови мениджъри и високите изисквания, които се поставят към тях.

Какви са специфичните изисквания към професионалните рискови мениджъри.

Критерий 1.Ефективността на програмата за управление на риска, разработена и внедрена в организацията.

Критерий 2.Един или повече основни организационни проблеми, идентифицирани и разрешени от мениджъра на риска.

Критерий 3.Способност за изобретателно прилагане на широк набор от инструменти за управление на риска и застраховане.

Критерий 4. Примери за творческо и ефективно използване на възможностите на застрахователния пазар за създаване на система за защита на организацията.

Критерий 5.Допринесе за създаването на разузнавателна система в и извън организацията, която ефективно събира и съхранява информация за рискове, събития и дейности, които засягат управлението на риска и застраховането на организацията.

Критерий 6.Способността за компетентно управление на звеното за управление на риска и изпълнение на функцията за управление на риска в други части на организацията.

Критерий 7.Постигнете най-рентабилния ефективна работапрограми за управление на риска в дългосрочен план.

Критерий 8.Постигане на върхови постижения в една или повече широки области, което води до подобрено управление на основните операции на организацията.

Критерий 9.Проявата на нагласа и активни действия за укрепване и развитие на професията „риск мениджър”.

Критерий 10.Продължаващо обучение в областта на управлението на риска.

За да очертаем сегашното състояние на професията в развитите страни, нека разгледаме някои статистически данни. Според проучване на Центъра за управление на риска в Georgia Enterprises и Tillinghast Towers Perrin, 85% CRO (главен директор по риска - в руските предприятия подобни функции сега се изпълняват от ръководители на отдели за управление на риска или отдели за вътрешен контрол и одит, такива специалисти работа в енергетиката, комуналните услуги, застраховането, банкирането и финансовите услуги), 50% от анкетираните организации съобщават, че са имали CRO позиция само през последните 2 години, 20% през последните 3 години и само 1% през последните 5 години.

Има три основни причини за създаване на такава позиция в предприятия и компании от руския бизнес: 1) централизация и координация на управлението на риска; 2) прилагане на интегриран подход за управление на риска; 3) подобряване на информираността на ръководството, борда на директорите и други заинтересовани групи относно рисковата позиция на организацията.

Най-важните квалификационни компоненти за позиция CRO са: комуникационни умения (18%), способност за управление (8%), познания по счетоводство и отчитане (счетоводство) (15%), познания по финанси (22%), познания по математика и статистика (24%), образование в областта на управлението на риска (13%).

Услугите за управление на риска често се формират под формата на малки звена, способни да постигнат достатъчно висока сигурност на бизнеса с минимални средства. Това изисква все по-високо ниво на професионализъм от мениджърите на риска. Членовете на персонала на тези звена трябва да бъдат добре образовани и активни служители на фирмата. В малките фирми функциите за управление на риска все повече ще се предоставят на техните собственици и мениджъри.

Подчинението на службата за управление на риска може да бъде различно: 45% от CRO са пряко подчинени на висшия мениджър на организацията; 35% - по-високо финансов мениджърорганизации и 20% - на други длъжностни лица.

В обозримо бъдеще позиции на CRO ще бъдат създадени от: финансови и инфраструктурни фирми, търговски фирми, телекомуникационни компании и големи мултинационални компании, както и интегрирани услуги за управление на риска ще бъдат формирани в много фирми в повечето индустрии.

Процес за управление на риска

Управлението на риска осигурява постигането на целите и задачите на компанията и съответно допринася за нейната капитализация, развитие и имидж поради:

  • прилагане на системен подход, който позволява планиране и изпълнение на дългосрочни дейности на организацията.
  • подобряване на процеса на вземане на решения и стратегическо планиране чрез развиване на разбиране за структурата на бизнес процесите, промените в околната среда, потенциалните възможности и заплахи за компанията.
  • принос за най-ефективното използване/разпределение на капитала и ресурсите на организацията.
  • защита на имуществените интереси на дружеството.
  • оптимизиране на бизнес процесите.
  • Подобряване на уменията на служителите и създаване на организационна база от "знания".

Управлението на риска е централна част от стратегическото управление на компанията. Това е процес, чрез който компанията систематично анализира рисковете от всеки вид дейност, за да постигне максимална ефективност на дейността си и съответно да повиши стойността на фирмата.

Управлението на риска като единна система за управление включва програма за наблюдение на изпълнението на задачите, оценка на ефективността на предприетите мерки, както и система за възнаграждение на персонала на всички нива на управление на компанията.

Управлението на риска трябва да бъде включено в общата култура на компанията, да бъде прието и одобрено от ръководството и след това да бъде съобщено на всеки служител на компанията като обща програма за развитие със специфични цели.

Процесът на управление на риска включва последователност от задачи за разработване на стратегическите цели и задачи на компанията; диагностика и идентифициране на риска, описание и измерване; оценка на риска и докладване на риска; разработване на програма за управление на риска и разпределение на функциите за управление на риска в компанията; наблюдение на процеса на управление на риска (фиг. 1).

Рисковете, на които е изложена една компания, могат да възникнат поради вътрешни и външни фактори. Диаграмата по-долу (Фигура 2) показва ключовите рискове, произтичащи от вътрешни и външни фактори. Рисковете се диференцират в следните категории – стратегически, финансови, оперативни, опасности.



Различните нива на управление на компанията изискват различни подробности за информацията за риска:

Съветът на директорите (акционерите) трябва да е наясно с рисковете, пред които е изправено дружеството; следи за изпълнението на програмата за управление на риска; познават антикризисната програма; поддържа имиджа на компанията.

Структурното звено на дружеството трябва ясно да познава рисковете, които попадат в обхвата на пряката му дейност; разполагат с ясни индикатори за процеса, които позволяват текущ мониторинг на ефективността на програмата за управление на риска; докладва систематично пред ръководството за изпълнението на програмата за управление на риска.

Всеки служител трябва да разбере своя принос към цялостната програма за управление на риска, да разбере стойността на системата за управление на риска Корпоративна култура, да докладват своевременно на своето непосредствено ръководство за всякакви промени или отклонения в програмата за управление на риска.

Кои специалисти работят в службата за управление на риска на компанията

1. Специалист по организация на процеса на управление на риска

Трябва да има добри организационни и координационни умения като изпълнява основно административни функции, например изготвяне на регистър и карта на риска, свиква комисия по риска, наблюдава формирането на планове за действие за управление на риска. В същото време в своята дейност трябва да се ръководи изключително от утвърдения корпоративен стандарт за управление на риска и инструкциите на компанията.

2. Оценител на риска

Трябва да има добри умения в математическото моделиране, както и добри познания по теория на вероятностите и математическа статистика. В началния етап не е необходимо да имате някаква квалификация по управление на риска. Тъй като процесът на внедряване на цикъла за управление на корпоративния риск неизбежно преминава през етап оценка на риска, службата за управление на риска задължително трябва да разполага със служител с достатъчно умения и знания за това. Подобно на други служители на звеното за управление на риска, той трябва да се ръководи от нормативната и методологическа рамка на компанията за управление на риска и инструкции за управление.

3. Експерт (аналитик) по производствени рискове

От една страна, дейността на всяка фирма в реалния сектор е уникална и специфична. От друга страна, основните вътрешни рискове на компанията са оперативните рискове, които включват производствените рискове на компанията от реалния сектор. Качествено идентифицира производствените рискове и участва в процесите на планиране на мерки за управление на производствените рискове може да бъде само служител, който е експерт точно в производствените дейности, които са присъщи на конкретна компания. Този служител може да бъде избран или от съответните производствени бизнес звена на компанията, или от други компании в бранша, но във всеки случай трябва да има специфичен производствен опит.

С придобиването на необходимия опит и квалификация в управлението на риска, дейностите на служителите по организацията на процеса на управление на риска, оценката на риска и производствените рискове могат да се комбинират, като броят на тези служители се оптимизира. В същото време, разбира се, зависи единствено от мотивацията на всеки отделен служител за придобиване на свързани компетенции, т.е. от техните стремежи към собствената им универсализация в рамките на управлението на риска на компанията и собственото им участие в този процес.

Ако компанията е внедрила и оперира интегрирана система за управление на риска (CRMS), тогава могат да бъдат включени и следните специалисти.

1. Служител за ИТ поддръжка на CRMS

Ако една компания планира да внедри или вече е внедрила ИТ система, която поддържа процеси за управление на риска в съответствие с корпоративния стандарт за управление на риска, тогава администраторът на тази система трябва да бъде част от отдела за управление на риска. Въпреки това, отговорността на администратора на ИТ системата за управление на риска трябва да се носи от лицето, отговорно за организиране на процеса на управление на риска.

2. Служител по рискове за здравето и безопасността при работа

3. Служител по екологичния риск

4. Служител по риска на информационната сигурност

Системата за охрана на труда и индустриалната безопасност, системата за управление на околната среда, системата за управление на информационната сигурност трябва да бъдат подсистеми на корпоративната система за управление на риска, особено след като методологията за управление на риска е една и съща, независимо с какви рискове се отнася.

В същото време системите за управление на здравето и безопасността, управлението на околната среда и информационната сигурност са сред най-прилаганите стандарти в света и Руската федерация по отношение на честотата на прилагане в компаниите (заедно със стандартите за управление на качеството). От друга страна, ако разгледаме съответните основни стандарти на тези системи, тогава те говорят за управление на риска. IN руски компаниидори преди въвеждането на корпоративна система за управление на риска често може да се установи наличието на внедрявани или внедрявани горепосочените системи. Разбира се, служителите, отговорни за тези системи, трябва идеологически да се отчитат на ръководителя на управлението на риска на компанията. Въпреки това, поради спецификата и уникалността на ситуацията във всяка отделна компания, в началния етап тази отчетност може да се реализира само функционално, т.е. без пряко организационно участие в звеното за управление на риска.

След като CRMS бъде внедрена и мениджърите на риска придобият достатъчно квалификация (компетентност) за управление на тези три системи, трябва да настъпят подходящи организационни промени, водещи до органично влизане на тези системи в единна корпоративна система за управление на риска.

5. Служител на пазарния риск

Това е служител, който се занимава с така наречените пазарни рискове: валута; процент; цена (стока). Тоест рисковете от колебания на валутните курсове, колебания в лихвените проценти, както и колебания в пазарните цени на продуктите на компанията и на суровините, консумирани от компанията, електроенергия и др.

Управлението на тези рискове често е придружено от работа с форуърди, фючърси, опции, суапове и други инструменти за управление на пазарния риск за компании от реалния сектор на икономиката.

В същото време често се установява, че управлението на пазарния риск с помощта на горните методи се извършва от едно от подразделенията на „финансовия блок“ на компанията много преди началото на внедряването на CRMS.

Професията на риск мениджър в Русия през последните години все повече заявява своята необходимост, тъй като трябва да се предвидят несигурност и възможни загуби и тяхното въздействие върху бизнеса трябва да бъде ограничено, а не да се справят със съществуващите последици.

Това трябва да се научи!

литература

  1. М. А. Рогов Концепцията за развитие на Руското общество за управление на риска. - М., 2009 г
  2. Управление на риска: Учебник / Изд. И. Юргенс.- М .: "Дашков и К", 2003
  3. Стандарти за управление на риска. ФЕРМА, 2003г

Семинар "Компетенции на рисков мениджър"

Лекторите от RusRisk ще бъдат:

  • Шемякина Татяна (изпълнителен директор)
  • Любов Белоусова

Участието в семинара е безплатно.

Моля, вземете участие в.

Интересностатии

Интересностатии

© imht.ru, 2022 г
Бизнес процеси. Инвестиции. Мотивация. Планиране. Изпълнение