Företagets riskhanteringssystem. Riskhanteringsaktiviteter Enterprise Risk Management Practices

02.11.2021

I en tid av ekonomisk och finansiell kris är riskhantering det mest faktiska problem, inför ryska industriföretag. Globaliseringsprocesser håller på att bli en annan källa till ekonomiska risker, så användningen av riskhanteringsprinciper i förvaltningen kommer att bidra till att uppnå kemiföretagens mål och mål, även om det naturligtvis inte kommer att minska sannolikheten för olika typer av risker till noll.

Införandet av ett riskhanteringssystem på företag gör det möjligt att:

  • identifiera möjliga risker i alla stadier av verksamheten;
  • förutsäga, jämföra och analysera nya risker;
  • utveckla nödvändig ledningsstrategi och komplext beslutsfattande för att minimera och eliminera risker;
  • skapa de nödvändiga förutsättningarna för genomförandet av de utvecklade aktiviteterna;
  • övervaka driften av riskhanteringssystemet;
  • analysera och övervaka de erhållna resultaten.

Riskhanteringens egenskaper inkluderar: behovet av att företagsledningen har avancerat tänkande, intuition och förutseende om situationen; möjligheten att formalisera riskhanteringssystemet; förmågan att snabbt svara och identifiera sätt att förbättra organisationens funktion, vilket minskar sannolikheten för oönskade händelser.

Omfattande riskhanteringssystem ERM (Företag Risk Förvaltning) i många utländska företag, till exempel i USA, används redan ganska brett, eftersom ägarna av stora globala företag redan i praktiken har sett till att gamla förvaltningsmetoder inte motsvarar moderna marknadsförhållanden och inte kan tillhandahålla framgångsrik utveckling deras verksamhet.

Tillämpningen av riskhantering förutsätter en tydlig fördelning av ansvar och befogenheter mellan alla strukturella uppdelningar. Det är den högsta ledningens ansvar att utse de ansvariga för att implementera nödvändiga riskhanteringsprocedurer på alla nivåer. Sådana beslut måste överensstämma med företagets strategiska mål och mål och inte bryta mot villkoren i gällande lagstiftning. I det här fallet är det nödvändigt att korrekt fördela aktiviteterna för att identifiera risker och funktionerna för att övervaka den skapade risksituationen bland utövarna.

Riskhantering som ett nyckelverktyg som syftar till att förbättra verksamhetens effektivitet

Riskhantering är ett av de viktigaste verktygen som syftar till att förbättra effektiviteten av affärsledningsprogram, som de kan använda för att minska produktlivscykelkostnaderna och mildra eller undvika potentiella problem som kan störa verksamhetens framgång.

För att uppnå ett företags mål krävs specifika idéer om huvudtypen av aktivitet, produktionsteknik, såväl som studier av huvudtyperna av risker. Att förebygga risker och minska förluster från exponering leder till en hållbar utveckling av företaget. Processen genom vilken verksamheten i ett företag styrs och samordnas utifrån riskhanteringens effektivitet och representerar riskhantering. Riskhantering är processen att identifiera förluster som en organisation utsätts för under sin huvudsakliga verksamhet och omfattningen av deras påverkan, och välja de mest lämplig metod att hantera varje enskild typ av risk.

I ett annat synsätt är riskhantering en systematisk process där risker bedöms och analyseras för att minska eller eliminera deras konsekvenser, samt för att uppnå mål.

Baserat på ovanstående kan vi komma till slutsatsen att riskhantering för att säkerställa företagets lönsamhet och effektivitet är en cyklisk och kontinuerlig process som samordnar och styr huvudaktiviteterna. Detta bör göras genom identifiering, kontroll och begränsning av alla typer av risker, inklusive övervakning, kommunikation och samråd som syftar till att möta befolkningens behov, utan att äventyra framtida generationers förmåga att tillgodose sina behov. Riskbedömning leder till stabilitet i företagets verksamhet, vilket bidrar till dess hållbara utveckling. Riskhantering - ett bidrag till hållbar utveckling, är en väsentlig faktor för att upprätthålla och öka företagets stabila verksamhet. Aktiv riskhantering är avgörande för förvaltningsprocessen för att säkerställa att risker hanteras på lämplig nivå.

Planering och implementering av riskhantering inkluderar följande steg:

  • Hantering av risker;
  • identifiering av risker och graden av deras inverkan på affärsprocesser;
  • tillämpning av kvalitativ och kvantitativ riskanalys;
  • utveckling och genomförande av riskhanteringsplaner och deras genomförande;
  • övervakning av risker och hanteringsprocesser;
  • förhållandet mellan riskhantering och prestanda;
  • kvalitet allmän process riskhantering.

Metodik (program) för kontinuerlig riskhantering

För att underlätta riskhanteringsaktiviteter behöver företaget utveckla en metod (program) för kontinuerlig riskhantering (CRM). MNUR är ett teoretiskt betydelsefullt program som syftar till att utveckla projektledningsmekanismer med processer, metoder och verktyg för bästa praxis för företagsriskhantering. Den ger förutsättningar för aktivt beslutsfattande, fortlöpande bedömning av risker, fastställande av graden av betydelse och graden av inflytande av risker på ledningsbeslut samt implementering av strategier för att bekämpa dem. Dessutom kan framsteg också göras i projektets omfattning, företagsbudgeten, tidpunkten för dess genomförande, etc. Figur 1 illustrerar tydligt metodiken för den kontinuerliga riskhanteringsprocessen.

Ris. 1. Kontinuerlig riskhanteringsprocess

Prestationsstyrningsprocessen fungerar som ett hjälpverktyg för att få information som är nödvändig för den utvecklade riskhanteringsmekanismen. Ogynnsamma trender bör analyseras och deras inverkan på denna mekanism bedömas. Lämpliga åtgärder av kontrollmekanismen måste vidtas för de verksamhetsområden som definieras som grundläggande i företagets affärsprocesser. Korrigerande åtgärder kan inkludera omfördelning av resurser (anläggningar, personal och omläggning) eller aktivering av en planerad begränsningsstrategi. Allvarliga fall, negativa trender och nyckelindikatorer kan också beaktas när denna mekanism används.

Det är viktigt att denna mekanism betonar behovet av att omvärdera identifierade risker som systematiskt påverkar företagets verksamhet. När systemet rör sig genom utvecklingens livscykel kommer det mesta av informationen att vara tillgänglig för riskbedömning. Om storleken på risken förändras avsevärt måste tillvägagångssätten för dess behandling anpassas.

Sammantaget är detta progressiva tillvägagångssätt för riskhantering avgörande för en omfattande hanteringsprocess och säkerställer att riskindikatorer bearbetas effektivt och på lämplig nivå.

Utveckling av ett riskhanteringsprogram på företaget

Låt oss överväga riskhanteringspolicyn som bör tillämpas på företaget. Den utvecklade mekanismen (programmet) bör syfta till effektiv och kontinuerlig riskhantering. Således uppmuntras tidig, korrekt och kontinuerlig identifiering och bedömning av risker, och skapandet av informationsmässigt transparent riskrapportering, planeringsåtgärder för att minska och förhindra förändringar i externa och interna förhållanden kommer att ha en positiv inverkan på programmet.

Denna mekanism, inklusive relationer med motparter och entreprenörer, bör utföra funktionerna att identifiera risker och övervaka dem. För att genomföra det är det nödvändigt att ha någon form av plan i form av en uppsättning vägledningsdokument som utvecklats för specifika verksamhetsområden. Denna plan anger riktlinjer för implementering av MNSD inom en specifik tidsram. Det påverkar inte genomförandet av andra aktiviteter i hela företaget, utan kan snarare ge ledarskap inom området för riskhantering.

Riskhanteringsprocessen måste uppfylla ett antal krav: den ska vara flexibel, proaktiv och ska verka för att ge förutsättningar för effektivt beslutsfattande. Riskhantering kommer att påverka risker genom att:

  • uppmuntra riskidentifiering;
  • avkriminalisering;
  • identifiera aktiva risker (kontinuerligt bedöma vad som kan gå fel);
  • identifiera möjligheter (genom att ständigt bedöma sannolikheten för gynnsamma eller aktuella händelser);
  • bedöma sannolikheten för att varje identifierad risk inträffar och hur allvarliga effekterna är;
  • fastställa lämpliga åtgärder för att minska riskernas eventuella betydande inverkan på företaget;
  • utveckla handlingsplaner eller steg för att neutralisera effekterna av alla risker som kräver begränsning;
  • upprätthålla kontinuerlig övervakning av nya risker med en nuvarande låg effekt som kan förändras över tiden;
  • produktion och spridning av tillförlitlig och aktuell information;
  • främja kommunikation mellan alla programintressenter.

Riskhanteringsprocessen kommer att utföras på en flexibel basis, med hänsyn till omständigheterna för varje risk. En kärnstrategi för riskhantering är utformad för att identifiera kritiska områden av riskhändelser, både tekniska och icke-tekniska, och proaktivt vidta nödvändiga åtgärder för att hantera dem innan de har en betydande inverkan på företaget, orsakar betydande kostnader, minskar produktkvaliteten eller produktivitet.

Låt oss överväga mer i detalj de funktionella elementen som är komponenter i riskhanteringsprocessen: identifiering (detektering), analys, planering och svar, samt övervakning och hantering. Vi kommer att överväga varje funktionellt element nedan.

  1. Identifiering
  • Datagranskning (d.v.s. intjänat värde, kritisk väganalys, integrerad schemaläggning, Monte Carlo-analys, budgetering, defekt- och trendanalys, etc.);
  • Granskning av inlämnade riskidentifieringsformulär;
  • Genomföra och bedöma risker med hjälp av brainstorming, individuell eller gruppexpertbedömning
  • Utföra oberoende bedömning identifierade risker
  • Ange risken i riskregistret
  1. Riskidentifiering/analysverktyg och tekniker som ska användas inkluderar:
  • Intervjutekniker för att fastställa risk
  • Felträdsanalys
  • Historisk data
  • Lärdomar
  • Riskhantering - Checklista
  • Individuell eller gruppbedömning av experter
  • Detaljerad analys av arbetsfördelningsstrukturen, studie av resurser och schemaläggning
  1. Analys
  • Genomföra en sannolikhetsbedömning - varje risk kommer att tilldelas en hög, medel eller låg nivå av sannolikhet att inträffa
  • Skapa riskkategorier – identifierade risker måste vara associerade med en eller flera av följande riskkategorier (t.ex. kostnad, schema, teknisk, mjukvara, process, etc.)
  • Bedöm effekten av risker - bedöm effekten av varje risk beroende på de identifierade riskkategorierna
  • Bestämma riskens svårighetsgrad - tilldela sannolikheter och effekter till betyget i varje riskkategori
  • Bestäm tidpunkten när riskhändelsen sannolikt inträffar
  1. Planering och respons
  • Riskprioriteringar
  • Riskanalys
  • Utse en person som ansvarar för risken
  • Bestäm en lämplig riskhanteringsstrategi
  • Utveckla en lämplig riskhanteringsplan
  • Ge en översikt över prioriteringar och bestämma nivån i rapporteringen
  1. Övervakning och kontroll
  • Definiera rapporteringsformat
  • Bestäm granskningsform och förekomstfrekvens för alla riskklasser
  • Riskrapport baserad på triggers och kategorier
  • Utföra riskbedömningar
  • Inlämning av månatliga riskrapporter

För effektiv riskhantering på ett företag anser vi att det är lämpligt att skapa en riskhanteringsavdelning. Huvudansvaret för denna strukturella enhet, inklusive för personal och andra användare (inklusive anställda, konsulter och entreprenörer), för att framgångsrikt implementera riskhanteringsstrategin och processerna visas i tabell. 1.

Tabell 1 - Riskhanteringsavdelningens roller och ansvar

Roller Tilldelade ansvar
Programdirektör (DP) övervakning av risker i förvaltningsverksamheten.

Övervakning av risker och riskhanteringsplaner.

Godkännande av beslut om finansiering av riskhanteringsplaner.

Uppföljning av ledningsbeslut.
Projektledare tillhandahålla hjälp vid riskkontroll av förvaltningsaktiviteter

Bidra till att etablera organisatorisk befogenhet för alla riskhanteringsaktiviteter.

Snabb respons på finansieringsrisker.
Anställd underlätta implementeringen av riskhantering (arbetaren är inte ansvarig för identifieringen av risker eller framgången för individuella riskhanteringsplaner).

Behovet av att uppmuntra proaktivt beslutsfattande för att fastställa lämpliga riskreaktioner för risk-”ägare” och avdelningschefer.

Administrera och upprätthålla intressenternas engagemang, riskhanteringsprocess

Säkerställa regelbunden samordning och utbyte av riskinformation mellan alla intressenter,

Hantering av risker som finns i ett registrerat riskregister (databas).

Utveckling av kunskap hos personal och entreprenörer inom området riskhanteringsverksamhet.
Sekreterare Sekreterarens funktioner utförs av en anställd på riskavdelningen eller så växlar de mellan alla anställda. Funktioner inkluderar:

Planering och koordinering av möten;

Förberedelse av mötesagendor, riskbedömningspaket och mötesprotokoll.

Ta emot och spåra status för föreslagna risktyper.

Utför en första bedömning av föreslagna risker för att avgöra vilka som är viktigast.

Expert inom ämnesområdet riskanalys på begäran av styrelsens ordförande.

Underlätta analys av styrelseledamöter som kommer att besluta om riskreducering är nödvändig.

Regelbunden samordning och kommunikation av riskinformationsutbyte med alla intressenter,
Avdelningsdirektör (DO) utse riskägare inom deras ansvarsområde och/eller kompetens.

Aktiv medarbetaruppmuntran

Övervaka integrationen av beslutsfattarnas riskhanteringsinsatser inom deras ansvarsområden.

Välja och godkänna en riskhanteringsstrategi. Detta inkluderar att godkänna resurser (t.ex. ägarrisk) för vidare riskanalys och/eller upprätta en mer detaljerad riskhanteringsplan vid behov. Godkännande av alla uppgifter.

Tilldela resurser till riskhanteringssvaret som finns i den detaljerade planen.
Enskild medlem av Office of Management Program (IMP) identifiering av risker.

Tillgång till riskhanteringsdata

Identifiering av möjliga risker från data med hjälp av en standardform av identifiering vid behov

Utarbeta och implementera en riskhanteringsplan

Fastställande av tid och alla kostnader förknippade med implementering av riskhanteringsplanen
Riskägare/ansvarig person delta i möten med riskhanteringsavdelningen.

Granska och/eller tillhandahåll relevant data, såsom kritisk väganalys, stödverktyg för projekt/datahantering, defektanalys, revision och negativa trendmöjligheter

Deltagande i framtagandet av insatsplaner

Riskstatusrapport och effektiviteten av riskhanteringsplaner

Arbeta för att bestämma sätten att hantera risk med eventuell ytterligare eller kvarvarande risk.
Integrerad brigad (KB) identifiering och tillhandahållande av information om risker som kan uppstå till följd av CB:s verksamhet.

Delta i all riskplanering under detta program. Sådan planering kräver samordning med riskhanteringsavdelningen, som i egenskap av ledning kan underlätta anskaffningen av resurser för att hantera risker.

Rapportera om framsteg och resultat av riskreaktionen.
Kvalitetskontroll övervaka och granska RCM vid uppdatering eller ändring av planen

Ansvar för att upprätthålla kvalitetsdokumentation och riskhanteringsprocesser

Riskhanteringsfunktioner inkluderar att organisera interaktion med befintliga avdelningar organisationsstruktur. KPI bildas för funktionella områden, som är avgörande för ett framgångsrikt genomförande av de tilldelade uppgifterna. Alla funktionella avdelningar eller affärsprocesser som inte täcks av designbyrån utvärderas och granskas av DP, PM och anställda för att säkerställa adekvat beteende med avseende på uppkomsten av risk. Riskidentifiering är processen för att fastställa vilka händelser som kan påverka ett företags verksamhet och dokumentera deras egenskaper. Det är viktigt att notera att riskidentifiering är en iterativ process. Den första iterationen är en preliminär bedömning och genomgång av teamets risker, med ett risk-ID vid behov. Den andra iterationen inkluderar presentation, genomgång och diskussion. Riskhanteringsprocessen inkluderar tre distinkta stadier av riskkarakterisering: identifiering, bedömning och justering samt bekräftelse.

En grafisk representation av riskidentifieringsprocessen presenteras i fig. 2.

Ris. 2. Strukturplan riskidentifieringsalgoritm

Som ett resultat av dess implementering kan en uppsättning åtgärder utvecklas för att bedöma de operativa riskerna för ett företag, integralrisk, vars kvantitativa bedömning är baserad på en omfattande analys av finansiella rapporter och redovisningar och en bedömning av integralriskbaserad på alla nivåer av företagets ansvar.

Slutsats

Riskhantering vid kemiska företag måste utföras inom ramen för system- och processmetoder, med hänsyn till branschens särdrag med hjälp av moderna effektiva metoder lednings- och produktionsorganisationer, samt använda riskhanteringsverktyg. Riskhanteringssystemet för verksamheten i ett kemiskt företag måste nödvändigtvis ta hänsyn till de säkerhetskrav som fastställts av statliga myndigheter och säkerställa säkerheten och hälsan för personal med anknytning till en farlig teknisk anläggning. För ändamålet med effektiv riskhantering av ett företag krävs ett integrerat riskhanteringssystem, som består av ett integrerat tillvägagångssätt för att bedöma det maximala antalet riskfaktorer för företagets aktiviteter som utförs i en dynamisk ekonomisk miljö. Författaren tror att utvecklingen av den ovan beskrivna uppsättningen åtgärder kommer att åtfölja en ökning av nivån på ledning och riskbedömning i industriorganisationer.

Kärnan i risker och deras klassificering

För första gången formulerades begreppet "risk" i relation till affärsområdet mänsklig aktivitet i försäkringsverksamheten och senare i börsverksamheten. Management som managementvetenskap förde till ett nytt kunskapsområde en förståelse för hur riskhanteringsprocessen bör organiseras.

Begreppet "risk" definieras tvetydigt och beror ofta på sammanhanget för dess användning. Risk som mest allmän syn kan identifieras som en möjlig fara.

I vid bemärkelse är risk en situationskaraktär för varje marknadsenhets verksamhet, som är en följd av osäkerhet i dess interna och externa miljö, och när den realiseras kan negativa konsekvenser uppstå för denna enhet.

I i snäv bemärkelse i riskzonen du bör förstå sannolikheten för att företaget ådrar sig förluster som ett resultat av uppförande entreprenöriell verksamhet.

De viktigaste riskegenskaperna är följande:

Risk finns alltid i alla stadier av ekonomiska enheters verksamhet, oavsett omfattningen av deras funktion, och skillnaden ligger bara i dess grad;

Fullständig eliminering av risk är omöjlig på grund av ett antal skäl, både objektiva och subjektiva.

Riskhantering började ta form som en separat vetenskap under andra hälften av 1900-talet, den kategoriska apparaten och metodiken för riskhantering är ännu inte helt etablerad. Man tror dock att på mikronivå är uppkomsten av risker förknippad med osäkerhet.

Baserat på deras svårighetsgrad finns det tre huvudtyper av osäkerhet:

Fullständig osäkerhet (kännetecknas av förutsägbarheten av inträffandet av en händelse nära 0);



Partiell osäkerhet (kännetecknas av det faktum att sannolikheten för att en händelse inträffar, och därmed graden av dess förutsägbarhet, varierar från 0 till 1);

Fullständig säkerhet (kännetecknas av att förutsägbarheten av att en händelse inträffar är nära 1).

Orsakerna till osäkerhet kan delas in i flera huvudgrupper:

Indeterminismen hos processer som äger rum i samhället i allmänhet och i det ekonomiska livet i synnerhet;

Brist på fullständig information vid planering av beteendet hos en marknadsenhet eller dess subjektiva analys;

Subjektiva faktorers inverkan på analysens resultat.

Uppkomsten av osäkerhet i ett företags driftsförhållanden och dess ledning kan orsakas av olika faktorer, bland vilka de vanligaste är:

Osäkerhet vid bestämning av perioden för strategisk planering för utveckling av ett företag;

Osäkerhet i utformningen av företagsmål och val av utvecklingsprioriteringar;

Fel vid bedömning av det aktuella läget inom företaget och dess plats på marknaden;

Otillräcklig fullständighet eller felaktig information om utvecklingsmöjligheter av detta företag och marknaden som helhet;

Misslyckanden i processen att utveckla en företagsstrategi, såväl som under dess genomförande;

Osäkerhet vid övervakning och bedömning av ett företags prestation.

Företagsutvecklingsstrategi i förhållandena marknadsekonomi bör utformas med hänsyn till dessa typer av osäkerhet i vart och ett av stadierna: i stadiet för att fastställa strategin; bildandet av mål; utveckla sätt att implementera den valda strategin och forma verksamhetsområden; analys av den egna kompetensen; kontroll över genomförandet av strategin.

Affärsenheter som håller på att fungera påverkas av olika typer av osäkerhet och risker och kan i viss mån hantera dem.

Riskhanteringens effektivitet bestäms till stor del av identifieringen av risker i gemensamt system deras klassificeringar. Risker kan klassificeras efter olika kriterier (tabell 16.1).

Tabell 16.1

Riskklassificering

Klassificeringsegenskaper Typer av risker
Koppling till affärsverksamhet Entreprenörisk Icke-entreprenöriell
Tillhör det land där den ekonomiska enheten är verksam Intern extern
Förekomstnivå Företag (mikronivå) Industri Intersektoriell Regional Stat Global (världen)
Ursprungssfär Socio-politisk Administrativ-lagstiftande Industriell Kommersiell Finansiell Natur-ekologisk Demografisk Geopolitisk
Orsaker Framtidens osäkerhet Brist på information Subjektiva influenser
Grad av motivering för att acceptera risk Motiverad Delvis motiverad Äventyrlig
Grad av konsistens System Icke-system (unik)
Överensstämmelse med acceptabla gränser Acceptabel kritisk katastrof
Realisering av risker Realiserat Oförverkligat
Tillräcklig tid för att fatta ett beslut att reagera på realiseringen av risker Varning Aktuell Sen
En grupp som analyserar risken och fattar beslut om beteende om det inträffar Individuell lösning Kollektiv lösning
Omfattning av inflytande Enkelspecifik Multispecifik
Möjlighet till prognoser Förutsägbar Delvis oförutsägbar
Grad av inflytande på verksamheten Negativ noll Positiv

Principer och huvudstadier i processen

Riskhantering

I den ekonomiska litteraturen finns det ett ganska stort antal tillvägagångssätt för riskhantering. I vid bemärkelse förstås riskhantering som vetenskapen om att säkerställa villkoren för att alla produktions- och ekonomiska enheter ska fungera framgångsrikt under riskförhållanden, i en snäv mening - som processen att utveckla och implementera ett program för att minska eventuella oavsiktliga förluster.

Riskhantering som vilket styrsystem som helst består av kontrollerade och styrande delsystem. Hanterat delsystem eller förvaltningsobjektet är en uppsättning risker och relaterade relationer, och styrdelsystem eller ett ledningsämne är en speciell grupp människor som genom olika tekniker och metoder för ledningspåverkan utför en ekonomisk enhets funktion under riskförhållanden.

Det finns flera grundläggande principer för riskhanteringsprocessen:

1) skalprincipär att en ekonomisk enhet bör sträva efter en så fullständig studie av möjliga riskområden. Denna princip innebär alltså att graden av osäkerhet reduceras till ett minimum;

2)riskminimeringsprincipen innebär att företag strävar efter att minimera, för det första, mängden möjliga risker, och för det andra graden av deras inflytande på sin verksamhet.

3) principen om adekvat svarär att en ekonomisk enhet snabbt måste reagera på interna och externa förändringar, med hänsyn till prognosen för deras utveckling.

4) principen om rimlig acceptans innebär att endast om risken är motiverad kan företaget acceptera den. Komponenterna i denna princip kan sammanfattas enligt följande:

Det är oklokt att riskera mer för mindre;

Det är nödvändigt att acceptera risker endast i beloppet av dina egna medel;

Det är nödvändigt att i förväg förutse de möjliga konsekvenserna om risken förverkligas.

Bearbeta effektiv förvaltning risk inkluderar följande etapper:

1. Identifiering. I detta skede bestämmer företaget förekomsten av en uppsättning av alla möjliga risker.

2. Kvalitet.I detta skede görs en fullständig analys av risken både vad gäller omfattningen av dess påverkan och sannolikheten för att den inträffar.

3. Att välja en strategi angående risk. Företagets strategi kan vara olika: försiktig, riskfylld eller mätt (tabell 16.2).

Tabell 16.2

Företagsstrategier avseende risk

4. Minskar risken. I detta skede är företaget engagerat i att välja metoder för att hantera risker för att minimera antingen mängden möjlig skada eller sannolikheten för att negativa händelser inträffar.

5. Kontrollera. Detta steg består av att övervaka effektiviteten av riskhanteringsmetoderna, övervaka den nuvarande situationen (både internt och externt), identifiera nya omständigheter som förändrar risknivån.

I vart och ett av dessa stadier samlas och utbyts information, och graden av risk beror på dess volym och kvalitet.

I vissa fall, för att hantera risker i en organisation, måste en särskild enhet skapas - en riskhanteringsavdelning, som leds av en risk manager, det vill säga en chef som uteslutande sysslar med riskhanteringsfrågor och samordnar alla avdelningars verksamhet i termer av av att reglera risk och säkerställa ersättning för eventuella förluster och skador.

Det finns tre huvudsakliga organisatoriska aspekter av att skapa en riskhanteringsstruktur:

Den ledande riskhanterarens aktiviteter;

Riskhanteringsavdelningens aktiviteter;

Avdelningens förhållande till andra strukturer i företaget.

Riskhanterarens funktioner inkluderar:

Säkerställa säkerhet och riskkontroll;

Bildande av en organisationsstruktur för riskhantering på företaget;

Utveckling av grundläggande bestämmelser och instruktioner för riskhantering.

Riskhanterarens och hans avdelnings huvuduppgift är att utveckla en strategi och principer för riskhantering i företaget, som bör fastställas i internt regleringsdokument, varav de viktigaste är Risk Management Regulations och Risk Management Guidelines.

Riskhanteringsföreskrifter uttrycker företagets inställning till riskhantering. Den bör beskriva nyckelpunkterna i företagets ledningsstrategi på detta område, avgränsa befogenheter mellan olika strukturella enheter etc.

Till skillnad från honom Riskhanteringsguideär ett dokument som definierar specifika åtgärder. Den bör innehålla instruktioner om hur varje specifik riskhanteringsuppgift kommer att lösas, och även ge svar på följande frågor: vem ska bedöma eventuella förluster; vem och hur ska bestämma försäkringsvillkoren; vad man ska göra om en händelse inträffar som leder till förluster; hur man begränsar förluster.

Riskhanteringsavdelningens huvudfunktioner är: riskidentifiering; riskbedömning; val och implementering av riskhanteringsmetoder.

Riskbedömning

Begreppen "skada" och "förlust" är nära besläktade med begreppet "risk". Om risken representerar en osäker möjlighet till förlust, skada och förstörelse, så är förlusten förknippad med riskens realisering, det vill säga det är ett materiellt, monetärt uttryck för förlusten.

Förluster som uppstår under entreprenöriell verksamhet, beroende på att de tillhör den specifika typen av resurser som används av företaget, kan delas in i följande typer: finansiell, materiell, försäljning, tidsförlust, moralisk och psykologisk, social, miljömässig.

För att fastställa sannolikheten för oönskade händelser och den möjliga förlusten görs en riskbedömning.

Systemet med riskbedömningsprinciper särskiljer tre nivåer:

1. Metodologiska principer, det vill säga principer som definierar begreppsmässiga bestämmelser som är de mest allmänna, och viktigast av allt, oberoende av särdragen hos den typ av risk som övervägs (likformighet, positivitet, objektivitet).

2. Metodologiska principer, det vill säga principer som är direkt relaterade till typen av aktivitet, dess särdrag (dynamik, konsekvens, etc.).

3. Drift principer relaterade till informationens tillgänglighet, tillförlitlighet, otvetydighet och bearbetningsmöjligheterna (modellerbarhet, förenkling).

Riskbedömningsmetoder består av två grupper: kvalitativa och kvantitativa. Kvalitativa bedömningar är de mest komplexa, deras huvudsakliga uppgift är att identifiera riskfaktorer, identifiera verksamhetsområden och stadier där risker kan uppstå. Det vill säga som ett resultat av en kvalitativ bedömning identifieras potentiella riskområden.

Kvantitativ riskanalys ger en numerisk bestämning av storleken på individuella risker, samt risken för hela den valda verksamhetsgrenen.

Risk kan definieras i både absoluta och relativa termer. Det är tillrådligt att använda mätningen av riskgraden i absoluta termer när man karakteriserar vissa typer av förluster, och i relativa termer när man jämför den förväntade förlustnivån med det reala, branschgenomsnittet och det ekonomiska genomsnittet.

De viktigaste metoderna för riskbedömning inkluderar statistiska metoder, metoder för kostnadsgenomförbarhetsanalys, expertbedömningar, metoden för analogier etc.

Statistisk metodär en av de vanligaste. Metoden används i stor utsträckning i de fall då ett företag, när man gör en kvantitativ analys, har en betydande mängd analytisk och statistisk information om de nödvändiga delarna av det analyserade systemet. Väsen statistisk metod riskbedömningen baseras på sannolikhetsteorin för fördelning av stokastiska variabler. Denna bestämmelse innebär att, med en tillräcklig mängd information om implementeringen av vissa typer av risker under tidigare perioder för specifika typer av affärsaktiviteter, kan varje affärsenhet bedöma sannolikheten för att de implementeras i framtiden. Denna sannolikhet kommer att vara graden av risk.

En probabilistisk prognos för en slumpvariabel X, där x 1, x 2, ..., x n är de värden som krävs, är en tabell följande typ(tabell 16.3):

Tabell 16.3

Probabilistisk prognos för en slumpvariabel

X x 1 x 2 x n
P(X) p 1 p2 p n

Enligt en av de grundläggande formlerna för sannolikhetsteorin bör summan av sannolikheterna i en probabilistisk prognos vara lika med en, vilket återspeglas i formeln:

Baserat på den probabilistiska prognosen för en slumpvariabel kan den matematiska förväntan (det vill säga prognosen för dess mest sannolika värde) och standardavvikelsen som kännetecknar prognosfelet hittas med hjälp av formlerna:

,

där M (X) är den matematiska förväntan;

X – värden som parametern som studeras kan ta;

P är sannolikheten att acceptera dessa värden.

Den probabilistiska innebörden av den matematiska förväntan på en specifik parameter från entreprenöriell verksamhet är att den är ungefär lika med det aritmetiska medelvärdet av dess observerade (möjliga) värden.

Den ekonomiska innebörden av standardavvikelsen ur riskteoretisk synvinkel är att den är en egenskap hos en specifik risk, som visar maximalt möjliga avvikelse för en viss parameter från dess genomsnittliga förväntade värde. Ju större standardavvikelsens värde är, desto mer riskabelt är detta ledningsbeslut och, följaktligen, desto mer riskabel är denna utvecklingsväg för företaget.

Värdet på standardavvikelsen gör det dock inte möjligt att jämföra risken för verksamhetsområden och specifika situationer utifrån egenskaper (förluster) uttryckta i olika enheter.

Denna nackdel kan elimineras genom att införa en variationskoefficient. Variationskoefficienten är ett relativt värde, som beräknas som förhållandet mellan standardavvikelsen och den matematiska förväntan:

Variationskoefficienten är en dimensionslös och icke-negativ storhet, vilket är ett kännetecken för risken att misslyckas med att helt uppnå de uppsatta målen. Sambandet mellan variationskoefficienten och risknivån presenteras i tabell 16.4.

Tabell 16.4

Överensstämmelse mellan risknivån och värdet av variationskoefficienten

Om vårt mål är att slumpvariabeln X ska nå värdet x * , det är

,

då kommer den matematiska förväntningen på absolut misslyckande att uppnå målet (ANC) att hittas enligt formeln:

för alla x i< х * .

Relativt icke-uppnående av målet (RNC) kan hittas med formeln:

.

Uppenbarligen är risken högre ju högre det relativa misslyckandet är att uppnå målet. En ökning av ONC-indikatorn indikerar en ökad risk.

Väsen metod för kostnadsanalys bygger på det faktum att i entreprenöriell verksamhet har kostnader inom varje specifikt område, såväl som i enskilda delar, olika grader av risk.

Så, till exempel, hypotetiskt, är det mer riskabelt att vara i spelbranschen jämfört med brödproduktion, och de kostnader som ett diversifierat företag ådrar sig för att utveckla dessa två verksamhetsområden kommer också att skilja sig åt i graden av risk. Samma situation kvarstår med kostnader i samma riktning. Graden av risk i form av kostnader förknippade med inköp av råvaror (som kanske inte levereras exakt i tid, dess kvalitet kanske inte helt överensstämmer med tekniska standarder, eller dess konsumentegenskaper kan delvis gå förlorade under lagring på företaget, etc. .) blir högre än i lönekostnader.

Att bestämma graden av risk genom en kostnads-nyttoanalys syftar till att identifiera potentiella riskområden. Detta gör det möjligt att identifiera "flaskhalsar" i företagets verksamhet när det gäller risker och utveckla sätt att eliminera dem.

Tillståndet för varje kostnadselement måste delas in i riskområden, som representerar en zon av allmänna förluster, inom vilka specifika förluster inte överstiger gränsvärdet för den fastställda risknivån: området för absolut stabilitet; område med normal stabilitet; region av instabilt tillstånd; område med kritiskt tillstånd; krisområde.

Tabell 16.5

Verksamhetsområden för företaget när det gäller hållbarhet

Varje kostnadspost analyseras separat för att identifiera den efter riskområden och maximala förluster. I detta fall kommer riskgraden för hela affärsverksamheten att motsvara det maximala värdet av risk för kostnadselement. Fördel den här metodenär att, genom att känna till kostnadsposten med maximal risk, kan du hitta sätt att minska den.

Metod för att bestämma graden av risk genom expertbedömningarär mer subjektiv till sin natur jämfört med andra metoder. Denna subjektivitet är en konsekvens av att den grupp experter som är involverade i riskanalys gör sina egna subjektiva bedömningar om både den tidigare situationen och utsikterna för dess utveckling.

Oftast används denna metod när det finns otillräcklig information eller när man bestämmer graden av risk för ett sådant affärsområde som inte har några analoger, vilket inte heller gör det möjligt att analysera tidigare resultat.

I sin mest generella form är kärnan i denna metod att ett företag identifierar en viss grupp av risker och överväger hur de kan påverka dess verksamhet. Detta övervägande handlar om att bedöma sannolikheten för att en viss typ av risk ska inträffa, såväl som graden av dess inflytande på företagets verksamhet.

Analytisk metod innehåller flera steg.

I det första steget utförs förberedelser för analytisk bearbetning av information, vilket inkluderar:

a) bestämning av nyckelparametern mot vilken ett specifikt område av affärsverksamhet bedöms (till exempel försäljningsvolym, vinstvolym, lönsamhet etc.);

b) urval av faktorer som påverkar företagets verksamhet och därför nyckelparametern (till exempel inflationsnivån, politisk stabilitet, graden av uppfyllande av kontrakt från företagets huvudleverantörer, etc.);

c) beräkning av nyckelparametervärden i alla stadier av produktionsprocessen .

I det andra steget konstrueras beroenden av de valda resulterande indikatorerna på värdena för de initiala parametrarna. De viktigaste indikatorerna som har störst inverkan på den här typen entreprenöriell verksamhet.

I det tredje steget bestäms kritiska värden för nyckelparametrar. Det enklaste sättet att göra detta är att beräkna den kritiska produktionspunkten eller break-even-zonen, som visar den lägsta tillåtna försäljningsvolymen för att täcka företagets kostnader.

I det fjärde steget analyseras de erhållna kritiska värdena för nyckelparametrar, faktorerna som påverkar dem, och möjliga riktningar för att öka effektiviteten och stabiliteten i företagets verksamhet bestäms, och följaktligen sätt att minska risken.

Fördelen med analysmetoden är således kombinationen av faktoranalys av parametrar som påverkar risken och identifiering av möjliga sätt att minska den.

Väsen metod för att använda analogerär att när man analyserar riskgraden för ett visst affärsområde är det tillrådligt att använda data om utvecklingen av samma och liknande områden tidigare.

Således, om det är nödvändigt att identifiera graden av risk inom något innovativt område av företagets verksamhet, när det inte finns någon strikt grund för jämförelse, är det bättre att känna till tidigare erfarenheter, även om de inte är helt förenliga med moderna förhållanden, än att vet ingenting. Metoden syftar till att identifiera likheter i utvecklingsmönster för processer och göra förutsägelser utifrån detta. När man använder metoden bör man skilja på historisk, litterär och matematisk analogi.

Analys av tidigare riskfaktorer utförs på grundval av information som erhållits från en mängd olika källor, såsom publicerade rapporter från företag om deras tidigare verksamhet, webbplatser och tryckta publikationer från statliga organisationer, data från försäkringsbolag, etc. Uppgifterna som erhålls på detta sätt bearbetas för att identifiera beroenden mellan de planerade resultaten av företagets verksamhet och potentiella risker.

Den objektiva svårigheten med att använda analogimetoden för att bedöma riskgraden är att data från tidigare perioder måste tillämpas för närvarande utan att ta hänsyn till att något affärsområde är i ständig utveckling. Denna fara är tydligast när man överväger produktionsområden för affärsverksamhet. Varje produkt går igenom flera livsstadier från utveckling till avveckling. Därför är det tillrådligt att jämföra tidigare och nuvarande indikatorer inom gränserna för ett steg. Annars är sannolikheten för fel under analys ganska hög.

Riskhanteringsmetoder

Alla metoder för att påverka risk kan delas in i följande huvudgrupper: riskvägran, risktagande, riskreducering, risköverföring.

I företagets praxis finns det stora risker som helt enkelt är omöjliga att undvika. Dessa risker kan delvis reduceras, men inte helt elimineras. Att minska sådana risker minskar dessutom praktiskt taget inte risken för konsekvenserna av deras genomförande. Därför är målet och kärnan med att använda denna metod för att hantera stora risker att skapa sådana produktions- och ekonomiska förhållanden under vilka sannolikheten för att sådana risker ska inträffa minimeras.

När man bestämmer sig för vägran från riskfyllda operationer bör följande beaktas.

För det första kan fullständigt riskundvikande helt enkelt vara omöjligt eller osannolikt, särskilt för små företag.

För det andra kan den förväntade vinsten från att fatta ett riskfyllt beslut avsevärt överstiga de möjliga förlusterna. I sådana situationer betraktas riskundvikande inte som en möjlig lösning.

För det tredje kan undvikande av en typ av risk leda till uppkomsten av andra typer av risker. Det vill säga att denna metod för riskhantering är effektiv när sannolikheten för förluster och den möjliga storleken på förlusten är hög - att undvika risksituationer i detta fall är det bästa alternativet.

Det är uppenbart att risker inte alltid kan undvikas. Oftast måste företag ta risken. Det är nödvändigt att uppmärksamma det faktum att vissa risker accepteras av företaget, eftersom de innehåller möjligheten att få ytterligare vinst, andra risker accepteras av organisationen, eftersom de är oundvikliga.

Kärnan i denna metod är att täcka eventuella förluster på bekostnad av företagets egna ekonomiska möjligheter. Användningen av denna metod är motiverad i följande fall:

Förlustfrekvensen är låg;

Storleken på potentiella förluster är liten.

Förluster med denna riskhanteringsmetod kan täckas antingen från löpande kassaflöde eller från reservfonder speciellt skapade för dessa ändamål.

När det gäller nästa kontrollmetod, riskreducering innebär en minskning av antingen sannolikheten för att oönskade händelser inträffar eller omfattningen av möjlig skada.

Kärnan i den förlustförebyggande metoden består i att vidta åtgärder som syftar till att minska sannolikheten för att de inträffar. Användningen av denna metod är motiverad i följande fall:

Sannolikheten för att risken förverkligas är ganska stor;

Mängden möjliga skador är liten.

Användningen av denna metod är förknippad med utvecklingen av ett program för förebyggande åtgärder, vars användning är motiverad endast så länge kostnaden för deras genomförande är mindre än vinsten som orsakas av dessa åtgärder.

När du gör upp en förebyggande handlingsplan bör du:

Bedöma den ekonomiska genomförbarheten för varje evenemang;

Kontrollera med företagets ledning och (eller) dess specialister om mängden medel som kan användas för evenemang;

Involvera specialister för att utveckla ett aktivitetsprogram eller få råd om det, om det behövs (till exempel krävs speciell kunskap);

Inhämta godkännande från företagsledningen för att utföra förebyggande åtgärder;

Justera, förtydliga och kontrollera aktiviteter;

Se regelbundet över uppsättningen av aktiviteter.

Kärnan i förlustreduktionsmetoden består i att vidta åtgärder som syftar till att minska storleken på en eventuell förlust. Användningen av denna metod är motiverad i följande fall:

Stor mängd möjlig skada;

Sannolikheten för att risken förverkligas är liten.

Det är möjligt att använda följande metoder för att minska mängden förluster: segregering (uppdelning) av tillgångar, kombination (kombination) av tillgångar och diversifiering.

Tillgångsindelning minskar ofta storleken på eventuella förluster när en oönskad händelse inträffar. Kärnan i denna metod är att minimera eventuella förluster i en händelse. Tillgångar kan separeras genom att fysiskt separera tillgångarna genom användning eller genom att separera tillgångarna genom ägande.

Tillgångskombination gör också förluster eller vinster mer förutsägbara genom att minska antalet riskenheter under kontroll av en enda affärsenhet.

Kombinationen av tillgångar kan ske på basis av affärskoncentration genom intern tillväxt (exempelvis ökning av bilparken). Men det kan uppstå på grundval av affärscentralisering, det vill säga när två eller flera kommersiella företag går samman (den nya kommersiella organisationen kommer som regel att ha fler tillgångar, fler anställda etc.). Viljan att minska förlusterna är ofta den främsta orsaken till att företag går samman.

Bearbeta diversifiering tillgångar och deras tillämpning förstås i två aspekter: bred och smal.

Diversifiering i vid mening hänvisar till att utvidga verksamhetsomfånget för alla organisationer.

Diversifiering av produktionen bör förstås som processen där specialiserade företag penetrerar nya sektorer av materiell och icke-materiell produktion för att säkerställa stabila driftsförhållanden.

Ett av de mest bekväma och vanliga sätten att hantera risker är försäkring, som kan klassificeras som riskminsknings- och överföringsmetoder.

Kärnan i denna förvaltningsmetod är att minska företagets deltagande i ersättning för skada som beror på att det (det försäkringsbolag) överför ansvaret för att bära risken till försäkringsbolaget (försäkringsgivaren).

Användningen av denna riskhanteringsmetod på företagsnivå är motiverad i följande fall:

Om sannolikheten för att risken inträffar, det vill säga uppkomsten av skada, är låg, men mängden möjlig skada är ganska stor. Oavsett homogeniteten eller heterogeniteten av risker, såväl som antalet risker (massa eller enstaka), är användningen av försäkring i detta fall tillrådlig;

Om sannolikheten för att risker uppstår är hög, men mängden möjlig skada är liten. Försäkring är motiverat om det finns många risker.

Försäkringsmetoderna skiljer sig åt i hur ansvaret för risken fördelas mellan parterna. Man skiljer på helförsäkring som täcker hela den specifika risken och delförsäkring som begränsar försäkringsgivarens ansvar och överlåter en del av risken till den försäkrade.

Det finns två stora grupper metoder för partiell försäkring: proportionell och oproportionerlig.

Under vårt vakande öga kom de förvaltningsaktiviteter och riskanalyser som vi använder i vår yrkesverksamhet. Under det förflutna, sedan vårt senaste möte, har vi lyckats förbereda följande artikel.

Fortsättning följer just nu...
Idag kommer vi att prata om riskhanteringsaktiviteter.

Introduktion

Riskhanteringsaktiviteter, liksom alla komplexa aktiviteter, är en komplex iterativ process som har sina egna stadier, mål och mål. Varje steg har sitt eget syfte, "tar"/"tar emot" som input till sin aktivitet de data som bestäms av "föraktiviteten" och vid utgången bildar det slutliga/mellanresultatet.

Riskhantering kan definieras på toppnivå genom följande sekvens av steg:

  1. Risk identifiering;
  2. Bedömning av sannolikheten för att det inträffar och omfattningen av konsekvenser som kan uppstå;
  3. Preliminär analys och bestämning av maximala möjliga förluster;
  4. Val av metoder och verktyg för att hantera den identifierade risken;
  5. Utveckling av en riskstrategi för att minska sannolikheten för att risker inträffar och minimera möjliga negativa konsekvenser;
  6. Implementering av riskstrategi;
  7. Bedömning av uppnådda resultat och justering av riskstrategin;
  8. Övervakning av problemområden.

Den reflekterade sekvensen av etapper är bara en avlägsen representation av aktiviteten i fråga, och kommer att ytterligare detaljerad och sakkunnigt utökas. Till exempel är "riskstrategin" som presenteras i denna plan bara en uppsättning av vissa sammanhängande processer och dokument som återspeglar kärnan i alla eller vissa stadier av riskhantering.

Riskhantering, som anges i den första artikeln, är ett ganska ungt verksamhetsområde, i den nuvarande förståelsen av dess mål och mål. Den studerar graden av påverkan på olika områden, processer etc., både grundläggande och indirekt/relaterade, av vissa händelser som medför uppkomsten av olika typer av skada eller vinst, och hur den kan kontrolleras eller i extrema fall direkt. eller kontroll.

Riskhantering och analys är ett separat område med en tydlig relation till IT. Men samtidigt skulle det vara felaktigt att kalla detta område av arbetsvetenskap, men det är helt korrekt att tala om en metod som har sin egen konceptuella apparat, klassificering, typer av analys, etc.

Ur den presenterade synvinkeln är den huvudsakliga utmärkande egenskapen för denna metod terminologin. Det är en blandning mellan sådana aktiviteter som informationsteknologi, teknik, ingenjörskonst, teori om maskiner och mekanismer, försäkrings- och börsaffärer, etc. Förekomsten av en sådan "chimär" har utvecklats historiskt, i enlighet med utvecklingen av riskhantering, och kräver av en specialist som är involverad i detta yrkesområde en bred syn och en mångsidig förståelse av inte bara ämnets "ungefärliga" väsen, utan också dess detaljer, annars riskerar den professionella att bli lämnad sida av förståelsen av vad som händer, vilket neutraliserar hans deltagande i denna process.

Bakom varje term, som kommer att ges senare i denna artikel, finns det en viss betydelse och historia av utvecklingen av de ursprungliga orsakerna och effekterna, som fick sin rätt att existera på grund av det faktum att deras betydelse och ständiga relevans bekräftades av tiden och giltigheten av de erhållna resultaten, såsom framgång eller skada.

Således, för att kompetent hantera och styra utvecklingen av risker, eftersom resultatet av risken inte bara kan vara skada, utan också ett effektivt resultat, är det nödvändigt att i detalj förstå deras kategorier, klassificeringar och typer. Det unika med varje risk ligger i det faktum att orsakerna som ger upphov till dem beror på faktorer som vilken typ av aktivitet de manifesterar sig i, miljön för processen eller händelsen, typen av teknik etc.

Trots att vi meddelade att riskhantering och analys är mer av en metodik än en separat vetenskaplig riktning på området informationsteknik, vikten av att uppfatta och förstå de grundläggande principerna, som är direkt relaterade till till synes icke-IT-discipliner, är en av komponenterna för att lyckas med att bemästra och tillämpa kunskap om riskhantering i praktiken.

Definition av grundläggande begrepp

För att tala med er, kära kollegor, på samma språk (trots allt, vi förstår redan hur viktigt detta är), språket för riskaktiviteter, är det nödvändigt att omedelbart komma överens om de villkor som ni behöver känna till för att framgångsrikt bemästra och tillämpa kunskap om riskhantering i praktiken. .

Å ena sidan, på grund av särdragen i ämnet som studeras, är det för tidigt att tala om etablerad terminologi inom riskhantering i relation till informationsteknologi. Naturligtvis är denna objektiva situation förknippad med en mängd olika typer av risker som är föremål för övervägande av vår disciplin. Men vi måste beskriva omfattningen av vår forskning, annars riskerar du och jag (ja, ja, precis det :)) att tänka på olika saker.

Vi gav definitionen av risk i den första artikeln, men här, för att bilda en fullständig bild av ämnet som studeras, och en övergripande titt på ett ganska komplext koncept, kommer vi att presentera det igen:

Risk är risken för att en trolig händelse/fenomen eller en kombination av dem inträffar som kan orsaka en viss påverkan på den verksamhet som bedrivs.

Med tanke på komplexiteten och mångfalden av discipliner som "fyller" riskhantering, är det tillrådligt att tillhandahålla ett alternativt riskbegrepp, givet i en av finans- och investeringsläroböckerna:

En riskhändelse eller en grupp av relaterade slumpmässiga händelser som orsakar skada på ett föremål som har denna risk.

Den givna "finansiella" definitionen av risk tvingar oss att dechiffrera de begrepp som ingår i den:

  • Slumpmässighet (många människor associerar begreppet slumpmässighet och oförutsägbarhet, vilket inte är helt sant) av förekomsten av en händelse innebär omöjligheten att bestämma tid och plats för dess inträffande.
  • Objekt – ett materiellt föremål eller intresse, en egenskap hos ett föremål.
  • Skada – försämring eller förlust av egenskaper hos ett föremål.
  • Sannolikheten för en händelse är ett tecken på en händelse, det vill säga förmågan att beräkna frekvensen av en händelse om det finns en tillräcklig mängd statistisk data.

En risk, som en självständig händelse, eller en del av en större händelse, har alltså två av de viktigaste egenskaperna ur riskhanteringssynpunkt – sannolikhet och skada.

Varje händelse genereras av en specifik orsak eller uppsättning orsaker. Sådana orsaker brukar kallas incidenter. Kedjan av successiva steg som leder från den första incidenten till den sista händelsen är ett utvecklingsscenario. Genom att känna till sannolikheterna som ledde till att incidenter inträffade är det möjligt att fastställa en sekvens av mellanliggande steg och beräkna sannolikheterna för att scenariot ska inträffa. Den avgörande faktorn för att bemästra riskhantering inom informationsteknologi är förmågan att samtidigt analysera, ta hänsyn till och syntetisera följande tre domäner när man överväger en specifik situation eller scenario:

  • Riskdomän
  • Management Domain
  • Informationsteknikdomän

Det är förmågan att samtidigt koppla samman dessa till synes helt olika ämnen av humanitär och teknisk karaktär som bidrar till framgång i att bemästra och praktisk applikation områden för riskanalyshantering. Förmågan att förstå och känna igen incidenter relaterade till olika ”naturer” av händelser och förmågan att konstruera scenarier, vars olika stadier och steg relaterar till olika domäner, är en viktig egenskap hos en högt kvalificerad riskhanteringsspecialist.

Riskhantering med modern teknik som exempel

Idag försöker många populära och grundläggande IT-metoder från områden som projektledning (PMBOK), analys (BABOK), IT-revision (COBIT), serviceaktiviteter (ITIL), mjukvaruutveckling (MOF), etc., tillhandahålla ett verktyg som skulle kunna erbjuda en effektiv riskhanterings- och analysalgoritm. En sådan "verktygslåda" för olika verksamhetsområden inom IT-domänen är följande metoder: CORAS, OCTAVE, CRAMM, MOF risk management, Risk it, etc. De presenterade processerna är de viktigaste när det gäller efterfrågan och användning, så vi kommer att överväga dem alla och försöka förstå detaljerna för var och en.

Kort översikt över IT-riskhanteringsmetoder:

CORAS

Det utvecklades inom ramen för det västerländska programmet "Technologies of the Information Society". Syftet med denna metod är att anpassa, förfina och kombinera sådana grundläggande riskanalysmetoder som Event-Tree-Analysis, Markov chains, HazOp och FMECA.

CORAS använder UML-teknik och är baserad på den australiska/nyazeeländska standarden AS/NZS 4360: 1999 Risk Management och ISO/IEC 17799-1: 2000 Code of Practice for Information Security Management.

I CORAS betraktas informationssystem inte bara ur den använda teknikens synvinkel, utan från flera sidor, närmare bestämt, som ett komplext komplex där den mänskliga faktorn också beaktas. Reglerna för denna metod implementeras i form av Windows- och Java-applikationer.

OKTAV

OCTAVE-metoden (Operationally Critical Threat, Asset and Vulnerability Evaluation) har utvecklats vid Software Engineering Institute vid Carnegie Mellon University (alma mater för många moderna IT-metoder och områden inom mjukvaruteknik) och möjliggör aktivt engagemang av informationsägare i processen att identifiera kritiska informationstillgångar och tillhörande risker.

Nyckelelement i OCTAVE:

  • identifiering av informationstillgångar som är föremål för risk och skada;
  • identifiering av hot mot kritiska informationstillgångar;
  • identifiering av sårbarheter i samband med kritiska informationstillgångar;
  • bedömning av risker förknippade med kritiska informationstillgångar.

OCTAVE ger en hög grad av flexibilitet, som uppnås genom att välja kriterier som ett företag kan använda för att anpassa metoden till sina egna behov. Metodiken är designad för användning i stora företag, och dess växande popularitet har lett till skapandet av en version av OCTAVE-S för små företag.

OCTAVE tillhandahåller ingen kvantitativ riskbedömning, men en kvalitativ bedömning kan användas för att fastställa en kvantitativ riskrankningsskala. Bedömningen kan omfatta olika riskområden som, med undantag för tekniska och regulatoriska risker, inte direkt ingår i metodiken. Dessa beaktas indirekt, vid intervjuer med ägare av informationstillgångar, där det blir tydligt vilka konsekvenser som kan uppstå om hot realiseras.

CRAMM

CRAMM-metoden (CCTA Risk Analysis and Management Method) utvecklades av British Central Computer and Telecommunications Agency 1985 och används för både stora och små organisationer inom den statliga och kommersiella sektorn. CRAMM innebär användning av teknologier för att bedöma hot och sårbarheter baserat på indirekta faktorer med förmåga att verifiera resultaten. Den innehåller en mekanism för att modellera informationssystem ur ett säkerhetsperspektiv med hjälp av en omfattande databas med förebyggande åtgärder för att minska/eliminera effekterna av risker. CRAMM syftar till en detaljerad bedömning av riskerna och effektiviteten av föreslagna kombinationer av olika motåtgärder.

MOF-riskmodell

Denna metod förtjänar särskilt omnämnande. Vi kommer att ägna lite mer material och din tid åt det.

Det är vanligast i det här ögonblicket tid och definierar riskhanteringens huvudstadier, som kommer att bli föremål för en separat artikel i framtiden (vi räknar verkligen med detta), men som vi också kommer att nämna här:

  • Riskidentifiering - fastställa orsakerna till risken, villkoren för dess förekomst, konsekvenser;
  • Riskanalys - bedömning av sannolikheten för riskförekomst och skada på informationssystemet och verksamheten;
  • Handlingsplanering - identifiera åtgärder för att helt undvika risker eller minska dess påverkan. Den utvecklar också en handlingsplan i händelse av en risk;
  • Riskspårning – samla in information om förändringar, under en viss tidsperiod, i olika riskelement. Om en risk har ansetts vara obetydlig under en tid ska den undantas från risklistan. Om effekten av en risk har förändrats bör du gå till analysfasen för att omvärdera den effekten.
  • Kontroll - genomförande av planerade åtgärder som svar på uppkomsten av en riskhändelse.

Om vi ​​tittar på riskhanteringsmodellen isolerat från de standarder där den används (ITIL, MOF, etc.) kan vi se en relativt ytlig, men grundläggande syn på riskhanteringsmodellen. Till exempel innehåller en metodik som CRAMM mer detaljerade instruktioner om riskbedömningsmekanismer och BASEL II (som nämns i den första artikeln) beskriver mer detaljerat frågorna om att organisera ett riskhanteringssystem i ett företag.

COBIT 5 för risk (RiskIT)

Denna standard undersöker tillvägagångssättet för riskhantering ur två aspekter: riskfunktion och riskhantering.

Det första fallet handlar om vad en organisation behöver ha på plats för att bygga och underhålla ett riskhanteringssystem. I det andra tittar vi på viktiga styr- och ledningsprocesser för att optimera risker och regelbundna rutiner för att identifiera, analysera, reagera på och rapportera risker.

Som du redan förstår finns det ingen enskild och centraliserad syn på riskhantering inom IT-området. Mångfalden av standarder och metoder orsakas, först och främst, av specifikationerna för riskanalys och riskhantering som tillämpas på vissa branscher och resurser som kan spenderas på implementeringen av dem. Men var och en av de beskrivna metoderna har rätt att "existera" bara för att de har bevisat sitt värde inte bara som "bokvärden", utan också som ett specifikt och effektivt verktyg för aktivitet. Alla ovanstående metoder löser i huvudsak samma typ av problem, orsakade av liknande orsaker och syftar till att minimera skadan av att en risk uppstår eller i princip eliminera den, men är ”skräddarsydda” enl. olika typer organisationer och processer där det är planerat att eliminera eller minimera risker. Av de skisserade metoderna är den mest universella utan tvekan MOF, som med varierande grad av anpassning kan användas i alla typer av verksamhet, men resten är till största delen specialiserade verktyg som kräver olika grader av uppmärksamhet och olika resurser. Om så önskas kan var och en av er hitta mer detaljerad information om metoderna som beskrivs på den "globala webben".

Relevansen av riskhanteringsaktiviteter idag

Idag tillhandahåller informationsteknik en mängd olika verktyg för att stödja och utveckla alla typer av speciella aktiviteter, oavsett dess särdrag och andra egenskaper, vare sig det är en snävt fokuserad typ e-handel, utbildningsområdet eller en vanlig typ av företagstjänst.

Högteknologier gör det möjligt att öka effektiviteten i befintliga processer och bli grunden för att skapa nya, men samtidigt, om de används okontrollerat, blir de en källa till enorma risker, som, om de "överlagras", kan vara källan av många "emergent" resultat. Det är ett välkänt faktum att riskhanteringsverksamheten är särskilt dålig i de flesta länder i denna riktning observerade i Ryska federationen, behandlas de som onödig redundans, vilket nyligen har blivit en "fashionabel" aktivitetsriktning som måste "typ" följas på grund av många faktorer. Men verkligheten moderna förhållandenär sådana att med den fortsatta utvecklingstakten i den moderna världen (det förutspås att dessa priser bara kommer att öka), är det praktiskt taget omöjligt att förutse, identifiera och registrera hela skalan av möjliga problem för IP (den mest dynamiskt föränderliga branschen) , oavsett vilken typ av arbete som utförs : införande av nytt mjukvaruprodukter och komplex, stöd och utveckling av befintliga eller avveckling av föråldrade sådana med efterföljande process för migrering av information som är avgörande för en viss organisation. I en sådan miljö en typ av verksamhet som syftar till proaktiv och förebyggande verksamhet vad gäller lösning/förebyggande/eliminering m.m. nya uppgifter och problem blir särskilt viktiga. Denna typ av verksamhet är riktningen för riskanalys och riskhantering, vilket bekräftas av den aktiva tillväxten av basen av standarder och metoder som helt eller delvis behandlar riskhantering. Till exempel inkluderar följande metoder COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30, etc.

Vanliga orsaker till risker

Grunden för alla konstruktiva aktiviteter är en tydlig förståelse för de mål, mål och resurser som är nödvändiga för att uppnå det slutliga resultatet.

Ju mer specifika och entydiga dessa faktorer är, desto lägre är graden av osäkerhet som potentiellt kan påverka målets uppnåbarhet. Utifrån detta är det helt klart att den främsta orsaken till eventuell risk är graden av osäkerhet som är inneboende i de postulat som är ramen för den process eller det projekt som initierar den aktivitet vi överväger. Hur uppenbara våra problem är och de resurser som avsätts för att lösa dem avgör risken med vår verksamhet. Osäkra uppgifter, a priori, är dömda till det faktum att möjligheten att utarbeta och genomföra en hållbar plan för att lösa dem är en "peka" i "ingenstans".

Den högre osäkerheten i förhållandena i både den yttre och inre miljön leder till att de resurser som avsätts för att övervinna dessa förhållanden måste vara av högsta möjliga kvalitet. Många negativa faktorer och orsakerna kan förutses och ”utrotas” endast utifrån erfarenheten från specialister med hög kompetens i att arbeta med risker, men detta kan knappast anses vara en förutsägbar faktor som bör användas när man bygger ett riskhanteringssystem. Problemet med "begränsade" resurser är ett problem som leder till produktivitetsunderskott.

Vid genomförande av projekt som har en hög grad av osäkerhet är det nödvändigt att ägna ökad uppmärksamhet åt ett allmänt använt riskanalys- och ledningssystem. Ett sådant system måste ta hänsyn till särdragen i både den verksamhet där processer förknippade med risker inträffar, och den organisatoriska delen av projektet och den organisation där det genomförs.

Den organisatoriska komponenten och uppmärksamheten som ägnas åt att arbeta med risker är ett separat ämne och verksamhetsområde, till vilket tyvärr ringa kostnader allokeras i Ryssland. Ett exempel på detta är att många vägledningsdokument inte tar upp aspekten risker i princip, deras acceptabla nivå och ansvar för att acceptera en viss risknivå.

Detta är inte fallet i utvecklade länder. Till exempel kan du i den amerikanska säkerhetsordlistan hitta termen Designated Approving Authority - detta är en person som är behörig att fatta beslut om tillåtligheten av en viss risknivå, vilket indikerar en kvalitativt annorlunda inställning till riskanalys och riskhantering, vilket i vårt land kommer naturligtvis att komma med tiden, men att spendera en massa onödiga resurser för detta.

Engagemanget av alla anställda på alla nivåer i den strukturella hierarkin i alla företag i riskanalysaktiviteter och en närmare attityd från ledningens sida kan radikalt förändra de pessimistiska trender som har utvecklats i flera år på detta område och därigenom leda till de viktigaste processerna för IT-branschen till en kvalitativt annorlunda nivå.

En tydlig förståelse av målen och målen för de aktiviteter som genomförs hjälper till att identifiera och minimera det överväldigande antalet orsaker som leder till risker.

Mål och mål för riskhantering

Riskanalys och hanteringsaktiviteter bör baseras på en tydlig, bestämd och entydig vision om varför en given, specifik enhet behöver analysera och hantera risker. Utan en tydligt skisserad plan (i en ideal situation, som följer av en utvecklingsstrategi) är det mycket svårt, och ibland till och med omöjligt, att bedöma och korrekt identifiera informationsrisker. Framgången för dessa aktiviteter kommer bara att bero på kvalifikationerna hos personalen som betjänar dem, vilket diskuterades lite tidigare. Det bör noteras att det inte finns någon enskild syn och standard/förfarande/föreskrift som skulle kunna beskriva och föreslå ett sätt att lösa alla uppenbara och potentiella problem.

Varje situation, varje process består av många elementära objekt. Dessa komponenter måste genomgå en analysprocedur. Detaljerna för beaktande av en viss partikel beror på storleken av det aktuella objektets bidrag till resultatet av aktiviteten.

Ju mer komplexa och mångfacetterade processer vi anser, desto viktigare är en detaljerad förstudie av verksamhetens omfattning, metodiken för vilken risk kan uppstå och användningen av bästa praxis och metoder som har erkänts och testats tidigare i arbetet med dem.

Att förstå mål hjälper till att medvetet kontrollera alla processer som är under övervägande, förstå den givna trenden och tillåtna avvikelser i dess "väg".

Huvudmålet med riskanalysverksamheten är att tillhandahålla den mest fullständiga och tillräckliga informationen för adekvat riskhantering.

Ledning förstås mer korrekt inte som "ledning" som en specifik ledningsfunktion, utan som disciplinen "ledning" i sig, som inkluderar 5 processer:

  • Kontrollera
  • Initiering
  • Planera
  • Prestanda
  • Övervakning och kontroll

Förbättringsprocessen, som nyligen har fått den snabbaste utvecklingen tack vare spridningen av processinställningen för att organisera aktiviteter, är inte helt korrekt att ta hänsyn till här. Anledningen till detta är att riskkomponenten måste ”släckas” över tid under analys- och förvaltningsprocesserna.

Analysaktiviteten innebär implementering av en del av förbättringsaktiviteten på grund av det faktum att ett i rätt tid byggt system av mätvärden för de viktigaste "defekta" komponenterna i en process eller ett projekt i övervaknings- och kontrollstadiet kommer att avsevärt minska kostnaderna för denna komponent och rikta dem i en mer konstruktiv riktning.

Resultatet av analyssteget är omfattande kvantitativa och kvalitativa data som kommer in i förvaltningsstadiets "input". Resultatet av detta steg är ett riskfritt eller "riskkontrollerat" resultat.

Det kommer att vara möjligt att omsätta ovanstående teser i praktiken när varje subjekt som är involverat i och interagerar med ett objekt i riskzonen förstår vikten och nödvändigheten av deras engagemang i arbetet med risker, vars uppkomst, även hypotetiskt, är möjlig.

Förståelse och deltagande i riskanalyshantering och snabb upptrappning av nya problem och uppgifter på alla hierarkiska nivåer i alla organisationer gör att du kan uppnå dina mål.

Efter att målen och målen har fastställts, accepterats och tydligt förstås av alla deltagare, är nästa steg i arbetet med risker deras identifiering (i planerna kommer nästa artikel att ägnas specifikt åt riskidentifiering). Grunden för identifieringsprocessen är kategoribasen, som är ett verktyg för att tilldela en risk till en viss klass eller grupp av riskkategorier. Att "placera" en risk i rätt kategori är en garanti för att arbetet med att bearbeta tillgänglig information om den och utveckla en ytterligare algoritm för att arbeta med den i framtiden kommer att eliminera eller minska mängden skador från dess uppkomst.

Klassificering och kategorier av risker

För närvarande i utvecklingen av riskområdet inom informationsteknologi är det lämpligt att tala om flera typer av risker. Informationsteknologibranschen kännetecknas av en uppsättning risker, som är mest typiska för de risker som är förknippade med högteknologiska och komplexa aktiviteter, bl.a. olika sorter processer. En uppsättning risker som är karakteristiska för en viss typ av verksamhet kallas en uppsättning risker.

När det kommer till komplexet kan vi, om vi använder teknisk terminologi, konstatera att riskkomplexet är en "ömsesidigt skärande uppsättning" mellan alla befintliga riskkomplex. Trots rekursiviteten i den resulterande definitionen uttrycker den tydligast kärnan i konceptet med ett komplex av risker.

Riskkomplex är en karakteristisk komponent för industri, finans- och investeringsområden, handel, utlåning och, naturligtvis, området för informationsteknologi. Således, ju mer komplex och komplex typ av verksamhet, belägen i "korsningen" av olika praktiska och teoretiska områden, vi anser, desto mer komplex och mångfacetterad kommer riskerna att vara.

Informationsrisker som uppstår i processer och projekt skiljer sig åt i platsen och tidpunkten för händelsen, mängden externa och interna faktorer som påverkar deras nivå och följaktligen metoden för deras analys och metoder för inledande och efterföljande beskrivningar.

Som regel är alla typer av risker relaterade till varandra och framväxande, därför påverkar de de aktiviteter som utförs inte bara på egen hand, utan också sammantaget.

En förändring av en typ av risk kan orsaka en förändring i de flesta andra som finns i ett visst komplex. Klassificering av risker innebär systematisering av många risker utifrån vissa egenskaper och kriterier som gör det möjligt att kombinera delmängder av risker till mer generella begrepp.

De viktigaste delarna bakom riskklassificeringen är:

  • tidpunkt för händelsen;
  • karaktär;
  • faktorer som inträffar;
  • konsekvenser;
  • och så vidare.

Baserat på tidpunkten för inträffandet delas riskerna in i retrospektiva (tidigare), nuvarande och framtida (framtida) risker.

Analys av retrospektiva risker, deras karaktär och metoder för att minska riskerna gör det möjligt att mer exakt förutsäga nuvarande och framtida risker, förutsäga den möjliga karaktären av deras förekomst och följaktligen hantera dem.

Till sin natur är riskerna indelade i:

  • Externa risker. Dessa inkluderar risker som inte är direkt relaterade till verksamheten i företaget eller miljön som interagerar med det (aktiviteter hos leverantörer, närstående företag, externa utvecklare, outsourcing- och konsultföretag, partners, etc.).
  • Interna risker. Dessa inkluderar risker som orsakas av verksamheten i själva företaget och dess publik (risker förknippade med personalens kvalifikationer, IT-infrastruktur, teknik som används etc.).
  • Organisatoriska risker (OR). OP är risker förknippade med misstag från företagets ledning och dess anställda; systemproblem intern kontroll, dåligt utvecklade arbetsregler, det vill säga de risker som är förknippade med intern organisation företagsarbete.
  • Processrisker (PR).. PR ligger under avsnittet organisatoriska risker. Denna typ av risk är typisk för vissa typer av processer. De är förknippade både med utförandet av en separat process och med processer vars aktiviteter är sammankopplade av de funktioner de utför (korsprocesser).
  • Projektrisker (PRR). PRR är risker som kännetecknar graden av fara för ett framgångsrikt genomförande av projektet som helhet eller dess enskilda skeden.
  • Operativa risker (ORR).. OPR är de risker som är förknippade med organisationens utförande av viss affärsverksamhet.

Det är svårt att inte märka att klassificeringen enligt förekomstfaktorn är en "matryoshka-docka". Kapslingen av faktorer motsvarar fördelningen av poäng i varje företags processmodell, medan var och en av de övervägda riskgrupperna har "interna" klassificeringar som kan dekomponeras och utökas till den nivå som krävs för att spåra och kontrollera en viss typ av risk.

Beroende på konsekvenserna delas riskerna in i:

  • Rena risker (ibland även kallade enkla eller statiska) kännetecknas av att de nästan alltid medför förluster för affärsverksamheten. Orsakerna till rena risker kan vara naturkatastrofer, krig, olyckor, kriminella handlingar, oförmåga hos organisationen, etc.
  • Spekulativa risker (ibland även kallade dynamiska eller kommersiella) kännetecknas av att de kan bära både förluster och ytterligare vinster för företagaren i förhållande till det förväntade resultatet. Skälen till spekulativa risker kan vara förändringar i marknadsförhållanden, förändringar i valutakurser, förändringar i skattelagstiftningen m.m.

På tal om konsekvenserna av risker är det nödvändigt att särskilja en separat klassificering efter graden av konsekvenser av risker. Denna "underklassificering" är mycket viktig för att fatta beslut om genomförbarheten av en viss riskrelaterad aktivitet:

  • Acceptabel risk. Detta är risken för ett beslut, som ett resultat av att ett uteblivet genomförande kan leda till att det uppsatta målet för verksamheten ”inte uppnås”. Inom denna zon behåller verksamheten sin ekonomiska bärkraft, d.v.s. förluster uppstår, men de överstiger inte det förväntade värdet.
  • Kritisk risk. Detta är en risk där hela eller delar av värdet av resultatet är möjligt; de där. en kritisk riskzon kännetecknas av risken för förluster som uppenbart överstiger det möjliga resultatet och i extrema fall kan leda till att alla investerade medel i projektet går förlorade.
  • Katastrofal risk. Detta är en risk där det finns en fullständig värdeförlust och det är möjligt att risksubjektet ådrar sig extra kostnader. Denna grupp inkluderar även alla risker som är förknippade med en direkt fara för människors liv eller framtida aktiviteter.

Framgång med att tilldela en risk till en eller annan punkt i denna klassificering beror direkt på många faktorer; för fullständighetens skull kan två av dem särskiljas:

  • Den kvantitativa graden av kunskap och säkerhet för en viss typ av risk
  • Kvalifikation, skicklighet, erfarenhet, ”framsynthet” av en riskhanterare som fattar beslut om att utföra aktiviteter som är utsatta för risker.

Om vi ​​bara pratar om den andra faktorn är det, som nämnts tidigare, svårt att säga att företaget har byggt ett högkvalitativt system för att arbeta med risker.

Framgången för en sådan organisation beror bara på specifika specialister som representerar en "organisation inom en organisation." Som regel, när sådana specialister lämnar, genomgår företagets riskhantering fullständig kollaps. Utan ett tydligt strukturerat system, som bygger på processmodell Med konstant mätning av resultaten av aktiviteter, enligt givna framgångsmått, i den moderna världen av högteknologi, kommer resultatet att vara ganska svårt att uppnå. Men mer om detta lite senare, i en dedikerad artikel.

För att sammanfatta ämnet riskklassificering bör det nämnas att klassificeringen som presenteras här inte gör anspråk på att vara fullständig och tillräcklig. I alla aktiviteter kan risker uppstå som bär prägel och resultat av ett visst företags specifika verksamhet. Manifestationen av risker i dem är möjlig och unik, isolerad eller närvarande i gruppfall, beroende på den specifika miljön och klart definierade parametrar för en viss organisations verksamhet. Sådana risker måste övervägas separat, i enlighet med det riskanalys- och ledningssystem som utformats för just detta företags behov.

Innan man klassificerar risker är det nödvändigt att korrekt identifiera, utvärdera och förstå de förutsättningar som kan leda till uppkomsten eller manifestationen av risk. Det stadium av riskanalys som gör att sådan verksamhet kan utföras är riskidentifiering. Riktigheten av den valda metoden för att arbeta och minimera ytterligare möjliga eller uppenbara skador beror på hur korrekt och framsynt riskidentifieringen utförs.

Slutsatser

Vi har gjort en kort sammanfattning av riskanalys och riskhantering, som kort beskriver gränserna för denna verksamhet. Här har vi försökt att kortfattat bekanta våra kollegor med mångfalden av typer, typer och klassificeringen av risker som sammanställts på grundval av dessa, vars uppkomst, som vi har visat, i de flesta fall underlättas av osäkerheten i initiala förutsättningar eller resurser.

I det följande kommer vi att gå vidare till en detaljerad övervägande av det preliminära skedet av riskanalys - processen för riskidentifiering och tillhörande metoder och metoder.

Vi önskar våra kollegor förbättring i arbetet med/över IT-risker.

Allt gott och vi ses snart!

Nyckeln till överlevnad och grunden för ett företags stabila ställning är dess hållbarhet. Det finns generell, prismässig, ekonomisk och andra typer av hållbarhet. Ekonomisk stabilitetär huvudkomponenten i företagets övergripande hållbarhet. Ett företags finansiella stabilitet är dess tillstånd finansiella resurser, deras omfördelning och användning, när utvecklingen av företaget säkerställs på grundval av dess egen vinst och kapitaltillväxt samtidigt som dess solvens och kreditvärdighet bibehålls under förhållanden med en acceptabel nivå av finansiell risk.

Syfte med finansiell riskhantering- att minska förluster i samband med denna risk till ett minimum. Förluster kan bedömas i monetära termer, och åtgärder för att förhindra dem bedöms också. Ekonomichefen ska balansera dessa två bedömningar och planera hur affären bäst kan avslutas ur ett riskminimerande perspektiv.

Beroende på föremålet för påverkan kan metoder för skydd mot finansiella risker klassificeras i två typer: fysiskt och ekonomiskt skydd. Fysiskt skydd består av att skapa medel som larm, köpa kassaskåp, produktkvalitetskontrollsystem, skydda data från obehörig åtkomst, anställa säkerhet, etc.

Ekonomiskt skydd består av att förutsäga nivån på merkostnader, bedöma allvaret av eventuell skada och använda alla finansiella mekanism för att eliminera riskhotet eller dess konsekvenser.

Låt oss överväga några aspekter av att organisera arbetet för att hantera risker, främst ekonomiska.

Finansiella riskhanteringsmetoder

Litteraturen ger fyra riskhanteringsmetoder: avskaffande, förlustförebyggande och kontroll, försäkring, absorption.

Avskaffande består i att vägra att binda sig riskfylld händelse. Men för finansiellt entreprenörskap, eliminerar risken vanligtvis vinsten.

Förebyggande och kontroll av förluster som en metod för finansiell riskhantering innebär en viss uppsättning förebyggande och efterföljande åtgärder, som bestäms av behovet av att förhindra negativa konsekvenser, skydda mot olyckor och kontrollera deras omfattning om förluster redan har uppstått eller är oundvikliga.

Kärnan i försäkring är att investeraren är beredd att ge upp en del av inkomsten bara för att undvika risk, det vill säga han är redo att betala för att minska risken till noll.

Försäkring kännetecknas av det avsedda syftet med den skapade monetära fonden, utgifterna för dess resurser endast för att täcka förluster i förutöverenskomna fall; probabilistisk karaktär av relationer; avkastning av medel. Försäkring som riskhanteringsmetod innebär två typer av åtgärder:

1) omfördelning av förluster mellan en grupp företagare som är utsatta för samma typ av risk (självförsäkring);

2) söka hjälp från ett försäkringsbolag.

Stora företag tillgriper vanligtvis självförsäkring, d.v.s. en process där en organisation, ofta utsatt för samma typ av risk, avsätter medel i förväg, från vilka den så småningom täcker förluster. På så sätt kan du undvika en dyr affär med ett försäkringsbolag.

När försäkring används som en tjänst på kreditmarknaden, ålägger detta ekonomichefen att fastställa ett godtagbart förhållande mellan försäkringspremien och försäkringsbeloppet. En försäkringspremie är en betalning för försäkringsgivarens försäkringsrisk till försäkringsgivaren. Det försäkrade beloppet är det belopp för vilket väsentliga tillgångar eller försäkringstagarens ansvar är försäkrade.

Absorption består i att erkänna skada och vägra att försäkra den. Absorption tillgrips när mängden förväntad skada är obetydligt liten och kan försummas.

När investeraren väljer ett specifikt sätt att lösa finansiella risker måste han utgå från följande principer:

du kan inte ta fler risker än du har råd med rättvisa;

Du kan inte riskera mycket för lite;

konsekvenserna av risken bör förutses.

Tillämpning av dessa principer i praktiken innebär att det alltid är nödvändigt att beräkna den maximala möjliga förlusten för en given typ av risk, sedan jämföra den med storleken på företagets kapital som exponeras för denna risk och sedan jämföra hela den möjliga förlusten med totala beloppet av sina egna finansiella resurser. Och bara genom att ta det sista steget kan du avgöra om denna risk kommer att leda till företagets konkurs.

Riskhanteringsprocess

Riskhanteringsprocessen kan delas upp i sex etapper:

måldefinition,

identifiera risken

riskbedömningar,

val av riskhanteringsmetoder,

tillämpning av den valda metoden,

utvärdering av resultat.

Ur ekonomisk risksynpunkt handlar det om att fastställa målet att säkerställa företagets existens vid betydande förluster.

Målet kan innefatta att skydda företagets verksamhet från yttre miljöförhållanden eller att optimera den interna miljön. Som den yttre miljön beaktar företag en grupp faktorer: direkt och indirekt påverkan.

Faktorer av direkt påverkan inkluderar leverantörer, köpare, konkurrenter och staten. Faktorer av indirekt påverkan inkluderar tillståndet i ekonomin, sociokulturella faktorer, politiska faktorer, resultat av vetenskaplig och teknisk revolution och internationella evenemang.

Positiva faktorer i den interna miljön inkluderar närvaron av en speciell "ekonomisk säkerhet"-tjänst, ett "ekonomisk varning"-system som förhindrar oförutsedda utgifter.

Nästa steg är att förstå risken genom att samla in olika information och använda formella och informella kanaler. Utöver finansiell rapporteringsdata och affärsplaner inkluderar officiella informationskällor information som erhållits från tidskrifter, radio, TV, etc. Inofficiell information inkluderar mottagna data! genom industrispionage.

Riskanalys (bedömning). När en förlust redan har uppstått är nästa steg att fastställa hur allvarlig den är.

Val av riskhanteringsmetoder. I enlighet med resultat från tidigare studier väljs en eller annan riskhanteringsmetod. En kombination av flera metoder är också möjlig.

Tillämpning av den valda metoden - ta specifika steg för att tillämpa en viss metod. Till exempel, om försäkring väljs, så består detta steg av att köpa en försäkring. I det här fallet annorlunda Försäkringsbolag beroende på deras specialisering inom området försäkringsrisker, väljs den optimala försäkringsformen vad gäller tid, pris och säkerhet.

Förutom försäkring någon riskhanteringsstrategi inkluderar ett program för att förebygga och kontrollera förluster. Varje funktion av ekonomisk förvaltning är involverad: planering, organisering, styrning och kontroll.

Låt oss överväga Till exempel, planeringens roll som ledningsfunktion i förhållande till finansiell riskhantering. En av delarna i företagsinterna planering är en affärsplan, vars struktur innehåller avsnittet "Riskbedömning".

Det här avsnittet av affärsplanen tillhandahåller ett verktyg för företagsriskhantering. Det är viktigt att förutsäga alla möjliga typer av risker som en företagare kan stöta på, för att motivera källorna till dessa risker och alla möjliga ögonblick då de inträffar. Avsnittet syftar till att studera inte bara ekonomiska utan även andra risker (till exempel politiska, lagstiftningsmässiga, naturkatastrofer (naturkatastrofer), etc.). Avsnittet "Finansiell plan" i affärsplanen representerar det monetära uttrycket för alla beräkningar som ingår i de föregående avsnitten av affärsplanen. Alla risker som presenteras i avsnittet "Riskbedömning" tar sitt monetära uttryck i den finansiella planen och påverkar den övergripande graden av finansiell risk. Nedan presenterar vi några typiska beräkningar som görs när man gör upp detta avsnitt av en affärsplan.

Tillämpningen av begränsning i förhållande till indikatorer på företagsbudgetens ekonomiska resurser är ett konkret uttryck för resultaten av riskplanering. Begränsning är att sätta en gräns, d.v.s. maxbelopp för utgifter, försäljning, kredit osv. Begränsning fungerar som ett viktigt medel för att minska risken och används till exempel av banker när de ger ut lån och av kommersiella företag när de säljer varor på kredit m.m.

Organisatorisk funktion för ekonomistyrning och riskhantering. Många stora företag anställer säkerhetsspecialister. Dessa chefer planerar företagets riskhanteringsstrategi, ingår försäkringsavtal och styr företagets ansträngningar att kontrollera förluster. Deras funktioner går utöver enkla försäkringar. Till exempel ger de: råd om hur man skyddar försäkringsbetalningar från inflation, väljer sätt att undvika förluster. I medelstora företag där det inte finns någon säkerhetsspecialist, fungerar en finanschef ( finansdirektör) är också ansvariga för att hantera finansiella risker, därför är det de som ska planera metoder för att hantera finansiella och särskilt investeringsrisker. I små företag är detta en av ägarens funktioner.

Kontrollfunktion av ledning och riskhantering.

Förlustförebyggande hantering liknar på många sätt produktivitets- och kvalitetsstyrning. Vi talar om ledarskap i form av handlingar, och inte om verbalt inflytande i enlighet med den allmänna teorin om ledning, som bygger på ledningens förtroende och engagemang gentemot anställda, ingående av ett kontrakt med facket (eftersom anställdas säkerhet är primär för fackföreningar). Begreppet ekonomistyrning bygger på "misstro mot de egna anställda" och "begränsat förtroende" för intern finansiell information (de viktigaste principerna för att bygga ett internt finansiell kontrollsystem utgår från detta).

Nästa (och sista) steg i den finansiella riskhanteringsprocessen är utvärdering av resultat. Detta kräver ett väl fungerande system med korrekt information, som gör det möjligt att beakta befintliga förluster och de åtgärder som vidtas för att förhindra dem.

Ibland fattar en investerare beslut när utfallet är osäkra och baserat på begränsad information. Med mer fullständig information kan naturligtvis en bättre prognos göras och risken minskas. I detta fall användbar information fungerar som en vara. Kostnaden för fullständig information beräknas som skillnaden mellan det förväntade värdet av ett förvärv när fullständig information finns tillgänglig och det förväntade värdet när informationen är ofullständig. Syftet med riskanalys som ett av de svåraste stadierna i finansiell riskhantering är behovet av att förse potentiella partners med data för att fatta beslut om lämpligheten av att delta i projektet och förmågan att tillhandahålla åtgärder för att skydda mot ekonomiska förluster.

När du gör en riskanalys är det först och främst nödvändigt att bestämma deras källor och orsaker, vilka av dem är de viktigaste, dominerande. Källor till risker kan vara ekonomisk aktivitet, mänsklig personlighet, naturliga faktorer. Orsakerna inkluderar brist på information, osäkerhet om framtiden, oförutsägbarhet i en affärspartners beteende.

Riskanalys är uppdelad i två ömsesidigt kompletterande typer: kvalitativ och kvantitativ.

Kvalitativ analys är identifieringen av alla möjliga risker. Kvalitativ analys kan vara relativt enkel, dess huvudsakliga uppgift är att identifiera riskfaktorer, stadier i arbetet under vilka risken uppstår etc.

Vid en riskanalys bör riskgraden bestämmas. Risken kan vara:

acceptabelt - det finns ett hot om fullständig förlust av vinst från genomförandet av det planerade projektet;

kritiskt - det är möjligt att inte bara vinster kommer att tas emot, utan även intäkter och förluster kommer att täckas på bekostnad av entreprenörens medel;

katastrofal - förlust av kapital, egendom och företagarens konkurs är möjliga.

Kvantitativ analys är bestämningen av den specifika monetära skadan för individuella subtyper av finansiell risk och finansiell risk sammantaget.

Ibland utförs kvalitativa och kvantitativa analyser på grundval av att bedöma inverkan av interna och externa faktorer: element-för-element-bedömning utförs Specifik gravitation deras inflytande på ett visst företags arbete och dess monetära värde. Denna analysmetod är ganska arbetskrävande ur kvantitativ analyssynpunkt, men ger otvivelaktiga resultat när kvalitativ analys. I detta avseende bör mer uppmärksamhet ägnas åt metoder för kvantitativ analys av finansiella risker, eftersom det finns många av dem och deras kompetenta tillämpning kräver en viss ledningsförmåga.

I absoluta termer kan risken bestämmas av omfattningen av möjliga förluster i materiella (fysiska) eller kostnadsmässiga (monetära) termer.

I relativa termer definieras risk som möjliga förluster hänförliga till en viss bas, för vilken det är lämpligast att ta antingen företagets egendomsstatus eller de totala kostnaderna för denna typ av affärsverksamhet.

Verkställande direktör för RusRisk,
Ph.D. Shemyakina T. Yu.

Medvetenhet om vikten av riskhantering kommer också till ryskt företag.

Som bekant förstås risk som sannolikheten att få ett ogynnsamt resultat, vilket kan leda till förluster, och därför bör riskhantering innefatta processer för identifiering, bedömning och optimering av dess nivå med efterföljande övervakning.

Enligt tidningarna "Risk Management" och "Company" har efterfrågan på specialister inom riskhanteringsområdet ökat nästan sju gånger under de senaste tre åren. Marknaden för dessa tjänster växer med minst tiotals procent per år, företagen uppmärksammar mer och mer inte på nuvarande problem, utan på möjliga morgondagens risker.

Det specifika med moderna ryska företags uppfattning om möjliga hot kan illustreras av enkätdata.

Källa: Rapport om konferensen ”Försäkring och återförsäkring i riskhanteringssystemet” stora affärer", organiserat av företaget Russian Policy Information Group med stöd av Russian Risk Management Society (RusRisk).

Enligt tidningen Risk Management kommer följande risker att bli störst under de kommande fem åren (i fallande ordning):

  • rykte,
  • reglerande,
  • risken att missa strategiska möjligheter för affärsutveckling och farorna med att attrahera outsourcingtjänsteleverantörer,
  • politiska risker,
  • risker med strategiskt partnerskap,
  • konsekvenser av klimatförändringar,
  • IT-hot från en ny generation,
  • risken för pandemier,
  • ekonomisk instabilitet,
  • hot om terrorism,
  • uppkomsten av organiserad brottslighet,
  • ökad konkurrens från utlandet.

Expertundersökningen "Utvärdering av utvecklingen av riskhantering i Ryssland" identifierade huvudproblemen med att öka nivån och kvaliteten på riskhanteringen (givet som % av antalet svarande):


Källa: Russian Polis magazine.

Enligt en undersökning av den brittiska tidskriften StrategicRISK kommer många frågor i framtiden att lösas utanför traditionella metoder för risköverföring. Om fem år kommer riskhanteringen att fokusera sina ansträngningar främst på operativ riskhantering.

Det kommer att bli en större användning av ett mer aggressivt tillvägagångssätt för riskhantering, i motsats till att bara minska risknivåerna. En betydande del av ansvaret kommer att överföras till linjecheferna. Riskhanterarnas roll kommer i första hand att vara att samordna riskanalys, förlustförebyggande och risköverföringsstrategier. Riskhantering kommer att uppfattas som en specialiserad verksamhet som inte ligger inom revisorernas ansvarsområde, och riskhanterare kommer att få en högre status i organisationen - på styrelsenivå - och kommer att kunna lösa ett bredare spektrum av frågor relaterat till strategisk planering, utveckling av organisationspolicy, produktion, kvalitetsledning och beslutsfattande.

Yrke risk manager

För tjugo år sedan, som riskhanterare, försökte företagschefer anställa försäkringsföretagare för att fungera som en buffert mellan företagets ledning och försäkringsbolagens mystiska värld. Enligt Tillinghast Towers Perrin-rapport, "Enterprise Risk Management: Trends and New Techniques", är dagens typiska företagsriskhanterare inte riskhanteringsspecialister – deras karriärer har i de flesta fall utvecklats mer allmänna funktioner ledning (inklusive - internrevision). Detta bekräftar att riskhanteraren måste ha det proaktiva tänket som en strategisk ledare och coach.

Inom området riskhantering bildas även yrket specialistriskhanterare. Specialister på identifiering, analys, övervakning och specifika typer av risker hjälper till att formulera och motivera ett integrerat riskhanteringsprogram.

I kommersiella, finansiella, statliga organisationer, läroanstalter, i nästan alla organisationer arbetade riskhanterare främst med försäkringsbara risker. Samtidigt är linjecheferna främst intresserade av affärsrisker såsom konkurrens-, operativa och personalmässiga osäkerheter. Av detta följer att varje ledning i verksamheten på ett eller annat sätt är riskhantering, och varje linjechef är i stor utsträckning en riskhanterare.

I ett marknadssamhälle är det företaget som är ansvarigt för att betala för alla skador som uppstår på grund av dess handlingar eller passivitet. Och anspråk på sådana skador kan vara betydande. I den moderna världen blir varje anställd i stor utsträckning en riskhanterare, riskhanteringen i sig i ett välskött företag blir ett "delat kollektivt yrke." Det är detta synsätt som gör att vi kan lösa motsättningen mellan det växande behovet av riskhanterare och de höga krav som ställs på dem.

Vilka är de specifika kraven för professionella riskhanterare?

Kriterium 1. Effektiviteten av riskhanteringsprogrammet som utvecklats och implementerats i organisationen.

Kriterium 2. Ett eller flera större problem i organisationen som riskhanteraren upptäckte och löste.

Kriterium 3. Förmåga att kreativt tillämpa ett brett utbud av riskhanterings- och försäkringsverktyg.

Kriterium 4. Exempel på kreativa och effektiv användning försäkringsmarknadens möjligheter att skapa ett skyddssystem för organisationen.

Kriterium 5. Delta i skapandet av ett underrättelsesystem inom och utanför organisationen som effektivt samlar in och lagrar information om risker, händelser och aktiviteter som påverkar organisationens risk- och försäkringshantering.

Kriterium 6. Förmåga att kompetent leda riskhanteringsavdelningen och utföra riskhanteringsfunktionen i andra avdelningar i organisationen.

Kriterium 7. Att uppnå det mest ekonomiska effektivt arbete långsiktiga riskhanteringsprogram.

Kriterium 8. Att uppnå överlägsen kompetens inom ett eller flera breda områden, vilket resulterar i förbättrad ledning av organisationens kärnverksamhet.

Kriterium 9. Demonstration av attityd och aktivt agerande för att stärka och utveckla yrket som riskhanterare.

Kriterium 10. Fortbildning inom området riskhantering.

För att beskriva yrkets nuvarande tillstånd i utvecklade länder kommer vi att tillhandahålla lite statistik. Enligt en studie från Center for Risk Management in Enterprises i delstaten Georgia och Tillinghast-Towers Perrin-byrån, utförs 85 % av CROs (Chief Risk Officer - i ryska företag, liknande funktioner idag av chefer för riskhanteringsavdelningar eller internkontroll och revisionsavdelningar, sådana specialister arbetar inom energi, allmännyttiga tjänster, försäkringar, banker och finansiella tjänster), rapporterade 50 % av de tillfrågade organisationerna att de endast hade en CRO-position under de senaste 2 åren, 20 % under de senaste 3 åren och endast 1 % under de senaste 5 åren.

Det finns tre huvudsakliga skäl för att skapa en sådan position hos ryska företag och företag: 1) centralisering och samordning av riskhantering; 2) genomförande av en integrerad strategi för riskhantering; 3) förbättra ledningens, styrelsens och andra intressegruppers medvetenhet om organisationens riskposition.

De viktigaste kvalifikationskomponenterna för att besätta en CRO-tjänst är: kommunikationsförmåga (18%), förmåga att hantera (8%), kunskap om redovisning och rapportering (15%), kunskap om ekonomi (22%), kunskap om matematik och statistik (24%) , utbildning inom området riskhantering (13%).

Riskhanteringstjänster bildas ofta i form av små enheter som kan uppnå tillräckligt hög affärssäkerhet med minimala resurser. Detta kräver att riskhanterare blir mer och mer professionella. De heltidsanställda på dessa avdelningar ska vara välutbildade och aktiva anställda i företaget. I små företag kommer riskhanteringsfunktioner att uppmärksammas mer och mer av sina ägare och chefer.

Riskhanteringstjänstens underordning kan vara annorlunda: 45 % av CRO:erna är direkt underställda organisationens högsta chef; 35% - högre ekonomichef organisation och 20 % - till andra tjänstemän.

Inom överskådlig framtid kommer CRO-positioner att skapas: finansiellt och infrastruktur, handelsföretag, telekommunikationsföretag och stora multinationella företag, såväl som integrerade riskhanteringstjänster, kommer att bildas i en mängd olika företag inom de flesta branscher.

Riskhanteringsprocess

Riskhantering säkerställer att företagets mål och mål uppnås och bidrar följaktligen till dess kapitalisering, utveckling och image på grund av:

  • applikationer systematiskt tillvägagångssätt, så att du kan planera och genomföra organisationens långsiktiga aktiviteter.
  • förbättra beslutsprocessen och den strategiska planeringen genom att utveckla en förståelse för strukturen i affärsprocesser, förändringar som sker i miljön, potentiella möjligheter och hot mot företaget.
  • bidrag till processen för mest effektiv användning/allokering av kapital och resurser i organisationen.
  • skydd av bolagets egendomsintressen.
  • optimering av affärsprocesser.
  • Förbättra de anställdas kvalifikationer och skapa en organisatorisk kunskapsbas.

Riskhantering är en central del strategisk ledning företag. Detta är en process genom vilken företaget systematiskt analyserar riskerna för varje typ av verksamhet för att uppnå maximal effektivitet i verksamheten och därmed öka företagets värde.

Riskhantering som ett enhetligt ledningssystem inkluderar ett program för att övervaka genomförandet av tilldelade uppgifter, bedöma effektiviteten av pågående aktiviteter, samt ett system för att belöna personal på alla nivåer av företagsledning.

Riskhantering måste införlivas i företagets allmänna kultur, accepteras och godkännas av ledningen, och sedan kommuniceras till varje anställd i företaget som ett allmänt utvecklingsprogram med specifika mål.

Riskhanteringsprocessen innefattar en sekvens av uppgifter för att utveckla företagets strategiska mål och mål; utföra riskdiagnostik och identifiering, beskrivning och mätning; riskbedömning och riskrapportering; utveckling av ett riskhanteringsprogram och distribution av riskhanteringsfunktioner i företaget; övervakning av riskhanteringsprocessen (Fig. 1).

De risker som företaget är exponerat för kan uppstå på grund av både interna och externa faktorer. Diagrammet nedan (Fig. 2) visar de viktigaste riskerna som härrör från interna och externa faktorer. Risker delas in i följande kategorier - strategiska, finansiella, operativa, faror.



Olika nivåer av företagsledning kräver olika nivåer av information om risker:

Styrelsen (aktieägarna) måste vara medvetna om de risker företaget står inför; övervaka genomförandet av riskhanteringsprogrammet; känna till anti-krisprogrammet; upprätthålla företagets image.

Företagets strukturella enhet måste tydligt förstå de risker som faller inom ramen för dess direkta verksamhet; ha tydliga processindikatorer som möjliggör kontinuerlig övervakning av riskhanteringsprogrammets effektivitet; systematiskt rapportera till ledningen om arbete inom ramen för riskhanteringsprogrammet.

Varje anställd måste förstå sitt bidrag till det övergripande riskhanteringsprogrammet och förstå riskhanteringssystemets betydelse för företagskultur, rapportera omedelbart till din omedelbara ledning alla ändringar eller avvikelser i riskhanteringsprogrammet.

Vilka specialister arbetar i företagets riskhanteringstjänst?

1. Specialist på att organisera riskhanteringsprocessen

Måste ha god organisations- och koordinationsförmåga, pga utför huvudsakligen administrativa funktioner, till exempel upprättande av register och riskkarta, sammansättning av en riskkommitté och uppföljning av utformningen av handlingsplaner för riskhantering. Samtidigt måste han i sin verksamhet uteslutande vägledas av den godkända företagsstandarden för riskhantering och företagets instruktioner.

2. Riskbedömare

Ska ha goda kunskaper i matematisk modellering, samt goda kunskaper i sannolikhetsteori och matematisk statistik. I det inledande skedet är det inte nödvändigt att ha några kvalifikationer inom riskhantering. Eftersom processen att implementera företagsriskhanteringscykeln oundvikligen går igenom riskbedömningsstadiet måste riskhanteringstjänsten ha en anställd som har tillräcklig kompetens och kunskap för detta. Liksom andra anställda på riskhanteringsavdelningen måste han vägledas av företagets befintliga regelverk och metodiska ramverk för riskhantering och instruktioner från ledningen.

3. Expert (analytiker) på produktionsrisker

Å ena sidan är aktiviteterna för varje företag i den verkliga sektorn unika och specifika. Å andra sidan är företagets huvudsakliga interna risker operativa risker, som inkluderar produktionsrisker för företaget i den verkliga sektorn. Endast en anställd som är expert på de produktionsaktiviteter som är specifika för ett visst företag kan kvalitativt identifiera produktionsrisker och delta i processerna för att planera aktiviteter för att hantera produktionsrisker. Denna medarbetare kan rekryteras antingen från företagets relevanta tillverkande affärsenheter eller från andra företag i branschen, men måste i alla fall ha erfarenhet av tillverkning.

Eftersom nödvändiga erfarenheter och kvalifikationer inom riskhantering erhålls, kan de anställdas aktiviteter för att organisera riskhanteringsprocessen, riskbedömning och produktionsrisker kombineras och antalet anställda kan optimeras. Dessutom beror detta naturligtvis enbart på varje enskild medarbetares motivation att skaffa sig relaterade kompetenser, d.v.s. från sina strävanden efter sin egen universalisering inom ramen för företagets riskhantering och sitt eget deltagande i denna process.

Om företaget har implementerat och driver ett integrerat riskhanteringssystem (CRMS), kan följande specialister också vara involverade.

1. IT-supportansvarig för CRMS

Om ett företag planerar att implementera, eller redan har implementerat, ett IT-system som stödjer riskhanteringsprocesser i enlighet med företagsriskhanteringsstandarden, bör administratören av detta system ingå i riskhanteringsenheten. Riskhanteringsansvaret för IT-systemadministratören bör dock ligga på riskhanteringsansvarig.

2. Riskansvarig för hälsa och säkerhet

3. Miljöriskansvarig

4. Informationssäkerhetsriskansvarig

Arbetsmiljösystemet, miljöledningssystemet och ledningssystemet för informationssäkerhet bör vara delsystem till företagets riskhanteringssystem, särskilt eftersom riskhanteringsmetoden är densamma, oavsett vilka risker den avser.

Samtidigt är företagshälso- och säkerhetsledningssystem, miljöledning och informationssäkerhet bland de mest implementerade standarderna i världen och Ryska federationen, när det gäller implementeringsfrekvens i företag (tillsammans med kvalitetsledningsstandarder). Å andra sidan, om vi undersöker motsvarande grundläggande standarder för dessa system, så talar de specifikt om riskhantering. I ryska företag Redan före implementeringen av ett företags riskhanteringssystem kan du ofta hitta närvaron av ovanstående system implementerade eller implementerade. Givetvis bör de anställda som ansvarar för dessa system ideologiskt rapportera till chefen för företagets riskhanteringstjänst. Men på grund av särdragen och unika situationen i varje enskilt företag kan denna ansvarsskyldighet i inledningsskedet endast implementeras funktionellt, dvs. utan direkt organisatoriskt engagemang i riskhanteringsenheten.

Efter att CRMS har implementerats och riskhanterare har fått tillräckliga kvalifikationer (kompetens) för att hantera dessa tre system, bör lämpliga organisatoriska förändringar ske, vilket leder till att dessa system organiskt förs in i ett enda företags riskhanteringssystem.

5. Marknadsriskansvarig

Detta är en anställd som hanterar så kallade marknadsrisker: valuta; intressera; pris (vara). Det vill säga riskerna för fluktuationer i valutakurser, fluktuationer i räntor samt fluktuationer i marknadspriser för företagets produkter och för råvaror som företaget förbrukar, el etc.

Att hantera dessa risker åtföljs ofta av att arbeta med terminer, terminer, optioner, swappar och andra verktyg för marknadsriskhantering för företag i den reala sektorn av ekonomin.

Samtidigt finner man ofta att marknadsriskhantering med ovanstående metoder utförs av en av divisionerna i företagets "finansiella block" långt innan CRMS-implementeringen påbörjas.

Yrket som riskhanterare i Ryssland har de senaste åren i allt högre grad förklarat att det är nödvändigt, eftersom osäkerhet och eventuella förluster måste förutses och deras inverkan på verksamheten måste begränsas och inte hantera de befintliga konsekvenserna.

Detta är nödvändigt och kan läras!

Litteratur

  1. M. A. Rogov Koncept för utveckling av det ryska riskhanteringssamhället. - M., 2009
  2. Riskhantering: Lärobok / Ed. I. Yurgens. - M.: "Dashkov och K", 2003
  3. Riskhanteringsstandarder. FARM, 2003

Seminarium "Riskhanterarekompetenser"

Talare från RusRisk kommer att vara:

  • Shemyakina Tatyana (verkställande direktör)
  • Lyubov Belousova

Deltagande i seminariet är gratis.

Vi ber dig att ta del av.



Intressant artiklar

Intressant artiklar

© imht.ru, 2023
Affärsprocesser. Investeringar. Motivering. Planera. Genomförande