Составляющие риска это: Составляющие риска — Студопедия

Аннотация: Три составляющие концептуальной базы проекта, которые рассматриваются ниже, используются в проектной деятельности, чтобы обеспечивать устойчивость траектории развития. Стихийное их формирование практически всегда негативно сказывается на сроках и результатах. В качестве итога обсуждения концептуальной базы приводится идеальная цель менеджерской работы в предпроектный период: сведение к минимуму необходимости вмешательства в конкретные дела исполнителей.

В предыдущей лекции мы рассмотрели вопросы определения методологического основания программного проекта и показали необходимость осознанного формирования концептуальной базы проекта. В частности, было указано, что эта база служит основой выработки общего плана проекта, составляющими которого являются планы по направлениям проектной деятельности. Мы рассмотрели части концептуальной базы, без которых проект как целенаправленная деятельность невозможен, – концепция развития проекта и план релизов. В данной лекции будут обсуждаться работы системы деятельностей проекта (см. лекцию 4), которые призваны обеспечивать устойчивость траектории развития. Без осознанного их выполнения достижение целей проектов весьма сомнительно. Речь пойдет об управлении рисками, управлении качеством и отслеживании связей. Эти виды деятельности тесно взаимосвязаны. Без специальной упреждающей заботы о реакции разработчиков на рискованные ситуации невозможно организовать качественный процесс, а следовательно, трудно ожидать и приемлемого качества получаемых результатов. В свою очередь, взаимосвязанность и переплетение деятельностей проекта есть фактор риска, и отслеживание связей в одном из аспектов можно рассматривать как инструмент снижения рисков. В то же время эти три деятельности целесообразно рассматривать по отдельности, поскольку каждая из них имеет свое содержание, которое не сводится к обслуживанию других.

В той или иной форме управление рисками, управление качеством и отслеживание связей реализуются в любом проекте, а потому явное или стихийное понимание того, как они организованы, занимает свое место в концептуальной базе проекта. Ниже мы рассмотрим принципиальный аспект организации этих деятельностей, оставляя детали и методики в качестве предмета конкретных методологий.

Управление рисками

Понятие риска в бытовом смысле чаще всего связывается с негативным влиянием на какую-либо деятельность. В то же время иногда говорят и о позитивном влиянии рисков: «Без риска нет успеха». По-видимому, правильнее всего говорить о том, что с риском связывается некая неопределенность в развитии событий, которая способна оказывать влияние на результативность процессов. Применительно к программным проектам рисками называют неопределенные события, негативно, позитивно влияющие или не влияющие на ход развития проекта (нейтральные). И единственное, в чем сходятся все трактовки поведения в рисковых ситуациях, это то, что к ним нужно готовиться заранее. Управление рисками проекта (Project Risk Management) включает в себя процессы, обеспечивающие планирование возможности рисков, их идентификацию, анализ, разработку откликов и контроль в течение жизненного цикла проекта.

Для позитивных рисков подготовленность означает рациональное использование появляющегося резерва (времени или ресурсов). Неподготовленность к негативным и нейтральным рискам — это всегда потеря возможностей.

Крайняя степень потерь — это ситуации, когда проект прерывается вопреки желанию менеджера продолжать его. Ситуации, когда проект прекращается для менеджера, но, возможно, продолжается с другим менеджером или завершается в связи с причинами, на которые нельзя повлиять, здесь не рассматриваются, поскольку разумная целевая установка менеджера — преодоление негативной рисковой ситуации с минимальными потерями и продолжение проекта. В соответствии с этой установкой менеджер должен еще до начала основных работ проанализировать, из-за чего данный проект может быть сорван, и понять, как он и его фирма могут и должны поступать, чтобы исключить или хотя бы минимизировать риски. В частности, результатом такого анализа может стать отказ от проекта еще до его начала. С другой стороны, т.е. с точки зрения заказчика, риск невыполнения проекта является одной из причин, из-за которых он может отказаться от разработки с данным менеджером, коллективом, фирмой.

Позитивные риски рассматривать как объект управления тоже полезно, но, если задача проекта ставится как достижение его целей без оптимизации расходов, то можно ограничиться обсуждением лишь негативных рисков. Так чаще всего и поступают в конкретных методологиях программистской проектной деятельности. Хотя это и определенное ограничение, в дальнейшем мы в основном будем обсуждать негативные риски. Оправданием позиции может служить не ссылка на традиции, а тот факт, что оперирование нейтральными и позитивными рисками во многом подобно тому, что приходится планировать и отслеживать при работе с рисками срыва проектных работ.

Причины возможного срыва работ весьма разнообразны, они зависят от конкретных условий и не сводятся лишь к техническим аспектам. Разработчики должны учитывать, с одной стороны, такие особенности ведения проекта, как техническая политика руководства фирмы и заказчика, их компетентность, их расчет на удачу, а с другой — кредитоспособность, репутацию тех, кто предлагает заказ. Риск невыполнения проекта может быть связан и с изменением рыночной конъюнктуры. Ненадежность подрядчиков — еще один пример проектного риска. Наконец, есть чисто внутренние причины рисков: сбои в используемом окружении (программном и техническом), неточность предъявляемых требований, ненадежность кадров (принятый на ключевую роль сотрудник может отказаться от контракта в самый неподходящий момент).

Чтобы снизить влияние рисков на развитие проекта, менеджер должен разработать специальный план, называемый далее планом управления рисками. Содержание этого плана — идентификация рисков данного проекта и мероприятия, снижающие зависимость его от рисков. Мы не будем обсуждать методики разработки плана управления рисками, поскольку они всегда завязаны на конкретные методологии. Более того, лишь немного упрощая, можно сказать, что любая методология строится как способ преодоления рисков. Отношение к рискам можно использовать в качестве критерия для классификации методологий, а также для выбора методологии реального проекта с учетом того, какие риски в данном проекте рассматриваться как существенные. Остановимся на общих положениях, которых целесообразно придерживаться при организации работ для минимизации рисков.

При составлении плана управления рисками нужно быть совершенно уверенным в том, что рассматриваются только подлинные риски, а не известные проблемы или условия, т.е. причины беспокойства за проект, которые не влияют на достижение целей проекта. Таким образом, нужно различать:

• причины риска — определенные события или обстоятельства в проекте или в его окружении, которые вызывают неопределенность;
• риски — неопределенные события или обстоятельства, возникновение которых может привести к воздействию на процесс достижения целей проекта:
  • к негативному воздействию, если в результате траектория проектной деятельности выходит из области допустимости;
  • нейтральному воздействию, если траектория не выходит из этой области;
  • к позитивному воздействию, когда новая траектория не только остается допустимой, но и по разным причинам оказывается предпочтительнее других траекторий, которые могли бы реализоваться, если бы рисковая ситуация не возникла;
• последствия — незапланированные отклонения траектории выполнения проекта, возникшие в результате того, что событие или обстоятельство, квалифицированное как риск, имели место.

Это разбиение рисков на составляющие принято, например, в стандарте PMBOK [48]. При описании стратегии оперирования рисками мы придерживаемся рекомендаций этого стандарта. Схематически составляющие рисков показаны на рис. 16.1. Разный способ показа составляющих риска на схеме (блок причины — прямоугольник, сам риск — облако, воздействие — овал) отражает степень неопределенности. Стрелка от причины к воздействию через риск отражает развитие рисковых событий, которыми нужно управлять в проекте. Приведенная схема была предложена Дэвидом Хилсоном [42], которого, подчеркивая безусловную компетенцию в вопросах управления рисками, часто называют Доктором Риск.

Стоит подчеркнуть, что в определении составляющих риска мы говорим о траекториях, которые могут реализоваться, а не об операционных маршрутах, поскольку для маршрутов всегда подразумеваются все возможные продолжения развития проекта. Рисковые траектории — это подмножество операционных маршрутов, которое выделяется в связи с причинами рисков, наступлением рисков и возможными последствиями рисков.

Первая стадия составления плана управления рисками при любой методологии — идентификация рисков. Традиционные подходы, как последовательные, так и консервативные итерационные, исходят из не очень реалистичной гипотезы о том, что можно выделить все риски, т.е. указать на все причины, события и их последствия. Радикальные быстрые методологии утверждают, что при решении ближайшей задачи возможность рисков сведена к минимуму, а потому специальный анализ рисков не требуется.

Однако в любом случае неопределенность проекта остается, и преодолевать риски приходится, а значит, их нужно учитывать и готовиться к их преодолению. Разделение на причины, наступление и последствия рисков — первый шаг в такой подготовке. Для его осуществления можно рекомендовать следующую лингвистическую формулу, использование которой должно помочь в выявлении реальных рисков:

Реальные риски — это те события, которые действительно характеризуются неопределенностью. Если причина детерминированно ведет к событию, то это не риск, а штатная ситуация, план преодоления которой к управлению рисками отношения не имеет. Следовательно, нужен анализ связей причин и событий.

В результате идентификации рисков формируется список идентифицированных реальных рисков.

Вторая стадия составления плана управления рисками при любой методологии — выставление приоритетов рискам. Иными словами, нужно определить сравнительную важность рисков для проекта. Устанавливается, насколько существенным может оказаться воздействие каждого риска на проект, и по этому признаку все идентифицированные риски упорядочиваются. После этого оцениваются две вероятности: для причины и возможного воздействия. Удобно расположить все риски в виде точек на плоскости, координаты которых отражают заданные вероятности. В таком случае можно зрительно отделить несущественные риски от существенных и далее работать только с последними. Нужно, однако, предостеречь, что выставление вероятностей — операция субъективная, а потому результирующее отсеивание требует проверки.

В результате выставления приоритетов определяются риски, которые будут отслеживаться в проекте. Остальные риски не отслеживаются, но игнорируются обоснованно, так как реально в проекте можно отследить не более 10–15 рисков, а потому нужно выбрать наиболее существенные из них.

Управленческие риски

Содержание 

Введение…………………………………………………………………………..3

1. Понятие риска и его составляющие………………………………………4
2. Природа рисков…………………………………………………………….5
3. Классификация управленческих рисков………………………………….7

Заключение……………………………………………………………………….11

Список используемой литературы………………………………………………12 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение 

    Любая экономическая деятельность в той или иной степени имеет рисковый характер, что обусловлено как многофакторной динамикой объекта управления и его внешнего окружения, так и ролью человеческого фактора в процесс воздействия.

    Уменьшение отрицательной составляющей риска и закрепление положительной могут быть достигнуты применением различных методов: экономических, организационно-распорядительных, социально-психологических и идеологических.

    Вопросы  классификации этих рисков представляют  собой достаточно сложную проблему. Это подтверждается уже тем,  что само понятие “классификации  рисков” возникло одновременно  с появлением понятия “риск”.

    Под  классификацией понимают систему соподчиненных понятий какой-либо области знания или деятельности человека, используемую как средство для установления связей между этими понятиями. Таким образом, классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия. 
 
 
 
 
 

1. Понятие риска и его составляющие

    В общем случае под риском понимают возможность наступления некоторого неблагоприятного события, влекущего за собой различного рода потери (например, получение физической травмы, потеря имущества,     получение доходов ниже ожидаемого уровня и т.д.).

    Или риск — это деятельность, связанная с преодолением неопределенности в ситуации неизбежного выбора, в процессе которой имеется возможность количественно и качественно оценить вероятность достижения предполагаемого результата, неудачи и отклонения от цели.

    Понятие  риск в экономическом смысле  предполагает потери, ущерб, вероятность  которых связана с наличием  неопределенности (недостаточности информации, недостоверности), а также выгоду и прибыль, получить которые возможно лишь при действиях обремененных риском, что чаще всего связывается с инновационной деятельностью.

    В  менеджменте понятие риск, прежде  всего, связывается с характером и сложностью проблем, условиями принятия управленческих решений и прогнозированием результата. Размер потерь организации как результата деятельности в условиях неопределенности представляет собой «цену риска», а величина успеха (дополнительная прибыль) – «плату за риск».

    Риск  — это возможность опасности,  неудачи и приобретений, выигрыша  в предсказании результата. С  риском связаны процессы развития  — как прогресс, так и регресс.  Как правило, риск оценивают  в производственной, управленческой, инвестиционной, кредитной и рыночной деятельности. Таким образом, управленческий риск является частью более широкого набора рисков.

    В явлении «риск» можно выделить следующие элементы, взаимосвязь которых и составляет его сущность:

• возможность отклонения от предполагаемой цели, ради которой осуществлялась выбранная альтернатива;
• отсутствие уверенности в достижении поставленной цели;
• возможность материальных, нравственных и др. потерь, связанных с осуществлением выбранной в условиях неопределенности альтернативы.

    Управленческие  риски составляют часть общих  рисков компании. Они представляют  собой набор желательных или  нежелательных вызванных управленческими  решениями ситуаций, которые могут  возникнуть либо при реализации  решений, либо спустя некоторое время.

    Управленческие риски приводят к оперативным и стратегическим приобретениям или потерям в деятельности организации. Позитивное действие управленческих рисков всеми работниками воспринимается как само собой разумеющееся, а негативное вызывает раздражение у руководителей и желание не допустить эти риски в дальнейшем.

    В процессе своей деятельности предприниматели сталкиваются с совокупностью различных видов риска, которые отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, по способу их анализа и методам описания.

     Как правило, все виды рисков взаимосвязаны и оказывают влияния на деятельность предпринимателя. При этом изменение одного вида риска может вызывать изменение большинства остальных.  
 
 

2. Природа рисков

    Природа неопределённости формируется под воздействием различных факторов:  

• временная неопределённость обусловлена тем, что невозможно с точностью предсказать значение того или иного фактора в будущем;
• неизвестность точных значений параметров рыночной системы можно охарактеризовать как неопределённость рыночной конъюнктуры;
• непредсказуемость поведения участников в ситуации конфликта интересов также порождает неопределённость и т.д.

    Сочетание этих факторов на практике создаёт обширный спектр различных видов неопределённости. Поскольку неопределённость выступает источником риска, её следует минимизировать, посредством приобретения информации, в идеальном случае, стараясь свести неопределённость к нулю за счёт получения качественной, достоверной, исчерпывающей информации.

    Существуют три основные точки зрения, признающие или субъективную, или объективную, или субъективно-объективную природу риска, последняя точка зрения является преобладающей.

    Риск связан с выбором определенных альтернатив, расчетом вероятности их исхода — в этом его субъективная сторона. Помимо этого, субъективная сторона (природа риска) проявляется и в том, что люди неодинаково воспринимают одну и то же величину экономического риска в силу различий психологических, нравственных, идеологических ориентаций, установок и т.д.

    Объективная природа риска обусловливает вероятностная сущность многих природных, социальных и технологических процессов, многовариантность материальных и идеологических отношений, в которые вступают объекты социально-экономической жизни. Объективность риска проявляется в том, что понятие риск отражает реально существующие в жизни явления, процессы, стороны деятельности. Причем риск существует независимо от того, осознают ли его наличие или нет, учитывают или игнорируют его.

    Субъективно-объективная природа риска определяется тем, что риск порождается процессами, как субъективного характера, так и такими, существование которых не зависит от воли и сознания человека.

2. Классификация рисков

     Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Наиболее важными элементами, положенными в основу классификации рисков, являются:

• время возникновения;
• основные факторы возникновения;
• характер учета;
• характер последствий;
• сфера возникновения и другие.

Инвестиционный  риск — это вероятность возникновения непредвиденных финансовых потерь в ситуации неопределенности условий инвестирования.

Инвестиционные  риски можно классифицировать по следующим признакам:  
 
По сферам проявления инвестиционные риски:

— Технико-технологические риски;

 — Экономический риск;

— Политические риски;

— Социальные риски;

— Экологические риски. 

 Под финансовым риском предприятия понимается вероятность возникновения неблагоприятных финансовых последствий в форме потери дохода и капитала в ситуации неопределенности условий осуществления его финансовой деятельности.

На современном  этапе к числу основных видов  финансовых рисков предприятия относятся  следующие: Риск снижения финансовой устойчивости, Риск неплатежеспособности предприятия, Инвестиционный риск, Инфляционный риск, Процентный риск, Валютный риск, Депозитный риск, Кредитный риск, Налоговый риск и другие. 

Производственный  риск связан с производством продукции, товаров и услуг; с осуществлением любых видов производственной деятельности, в процессе которой предприниматели сталкиваются с проблемами неадекватного использования сырья, роста себестоимости, увеличения потерь рабочего времени, использования новых методов производства.

Производственный  риск возникает из-за основных причин, к которым относятся:

• снижение намеченных объемов производства и реализации продукции вследствие снижения производительности труда, простоя оборудования, потерь рабочего времени, отсутствия необходимого количества исходных материалов, повышенного процента брака производимой продукции;
• снижение цен, по которым планировалось реализовывать продукцию или услугу, в связи с ее недостаточным качеством, неблагоприятным изменением рыночной конъюнктуры, падением спроса;
• увеличение расхода материальных затрат в результате перерасхода материалов, сырья, топлива, энергии, а так же за счет увеличения транспортных расходов, торговых издержек, накладных и других побочных расходов;
• рост фонда оплаты труда за счет превышения намеченной численности либо за счет выплат более высокого, чем запланировано, уровня заработной платы отдельным сотрудникам;
• увеличение налоговых платежей и других отчислений в результате изменения ставки налогов в неблагоприятную для предпринимательской фирмы сторону и их отчислений в процессе деятельности;
• низкая дисциплина поставок, перебои с топливом и электроэнергией;
• физический и моральный износ оборудования отечественных предприятий.

Коммерческий  риск — это риск, возникающий в процессе реализации товаров и услуг, произведенных или купленных предпринимателем.

Валютный  риск — это вероятность финансовых потерь в результате изменения курса валют, которое может произойти в период между заключением контракта и фактическим производством расчетов по нему. Валютный курс, устанавливаемый с учетом покупательной способности валют, весьма подвижен.

Кредитный риск — это возможность возникновения убытков вследствие неоплаты или просроченной оплаты клиентом своих финансовых обязательств. Кредитному риску подвергается как кредитор (банк), так и кредитозаемщик (предприятие). Под кредитным риском понимают возможность того, что компания не сумеет погасить свои долги вовремя и полностью.

Процентный  риск — это риск для прибыли возникающий из-за неблагоприятных колебаний процентной ставки, которые приводят к повышению затрат на выплату процентов или снижению дохода от вложений и поступлений от предоставленных кредитов.

Трансляционный  риск связан с инвестициями за рубеж и иностранными займами. Трансляционный риск влияет на величину показателей статей баланса и отчета о прибыли и убытках при их пересчете в национальную валюту, а также изменяет показатели консолидированного баланса группы компаний.

Технический риск определяется степенью организации производства, проведением превентивных мероприятий (регулярной профилактики оборудования, мер безопасности), возможностью проведения ремонта оборудования собственными силами предпринимательской фирмы.

Инновационный риск — это вероятность потерь, возникающих при вложении предпринимательской фирмой средств в производство новых товаров и услуг, которые, возможно, не найдут ожидаемого спроса на рынке.

Ценовой риск — это риск потерь (прямых убытков либо недополученной прибыли) в результате неблагоприятного изменения рыночных цен.

Ценовой риск — риск, связанный с изменением рыночной цены финансового актива.

Операционный  риск в основном связан с торговыми операциями, а также с денежными сделками по финансовому инвестированию и дивидендным (процентным) платежам. Операционному риску подвержено как движение денежных средств, так и уровень прибыли. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Виды рисков и их классификация в экономике, примеры социального, профессионального, техногенного, системного, отраслевого, организационного, критического, систематического риска

Все виды рисков, вне зависимости от своего характера, относятся к нежелательным явлениям, с которыми так или иначе сталкиваются в различных сферах деятельности.

По мере внедрения новых технологий производства и сложных финансовых моделей, разрабатываются более совершенные методы прогнозирования и минимизации рисков, которых с каждым годом становится всё больше и больше.

Принято выделять ряд критериев, в соответствии с которыми существуют различные классификации рисков. О них и пойдет речь в представленной статье.

Общая характеристика рисков

Любой вид подразумевает под собой все негативные явления, в той или иной мере препятствующие реализации поставленной цели на различных этапах её достижения.

Вероятность возникновения подобной ситуации может быть рассчитана при помощи использования различных математических методов.

С учетом проведенного анализа всех возможных отклонений от запланированного результата, так называемые риск-аналитики ориентируются на среднеожидаемую величину риска. Она является наиболее обоснованной с точки зрения конечного результата конкретной деятельности.

Принято выделять две составляющие риска: ситуационную и индивидуальную.

Рассматривая конкретный тип, выясняют степень причастности к нему индивидуума и так называемые сторонние факторы. В зависимости от процентного эквивалента той или иной составляющей, риску присваивается соответствующее название.

Большинство рисков поддаётся прогнозированию. Это позволяет снизить нежелательные последствия для компании на пути к намеченной цели.

Управление риском, особенно в случае с различными инновационными проектами, подразумевает разработку и применение совершенных методов и способов по выявлению наиболее выгодных и оптимальных для данной ситуации путей дальнейшего развития.

Виды рисков и их классификация

Существующие всевозможные виды, которые встречаются повсеместно, в различных сферах деятельности человека, принято классифицировать по основным признакам.

По объекту воздействия

Индивидуальный подразумевает собой всевозможные нежелательные последствия, с которыми может столкнуться отдельный индивид в процессе бытовой или профессиональной деятельности. Примером могут служить различные профессиональные болезни, вызванные специфическими условиями работы.

Технический этот вид выражается в том, что в процессе эксплуатации различных узлов и механизмов машин и технического оборудования возникают неполадки, сбои и иные негативные предпосылки. Причиной тому может служить как человеческий фактор, так и дефект или брак техники.

Пример: оператор котельной, вследствие ненадлежащего исполнения обязанностей, может создать аварийную ситуацию, повлекшую за собой взрыв котла. Такое же развитие событий может быть вызвано сбоями в работе предохранительного клапана.

Коллективный предполагает вероятность нанесения увечий двум и более лицам, находящихся в эпицентре аварии или природного катаклизма.

Хозяйственный сущность данного вида заключается в том, что реализация некой коммерческой деятельности производственного характера может быть сопряжена с разного рода трудностями. Они проявляются в полной мере при дефиците информации и влекут за собой потерю прибыли и снижение уровня производственной эффективности. В качестве примера можно привести порчу продуктов питания по истечении срока их хранения.

Экологический риск — данное понятие неразрывно связано с пагубными изменениями окружающей среды. Такая обстановка возникает в результате техногенных, антропогенных и природных факторов. Пример: выбросы отходов промышленного предприятия в водоём, минуя очистные сооружения.

Стратегический характеризуется наличием проблем, связанных с эффективной реализацией запланированных задач. Их появление обусловлено недальновидным анализом заданной деятельности.

Пример: необоснованные затраты производителей на исследовательскую деятельность в направлениях, находящихся на начальных этапах развития. В данном случае уместно упомянуть так называемый организационный риск, появление которого продиктовано плохой, несогласованной организацией работы по реализации конкретной деятельности.

Риски предприятия имеют отношение ко всем возможным осложнениям, так или иначе препятствующим его продуктивной деятельности. Считается, что компания в наибольшей степени подвержена такого рода рискам при наличии неблагоприятной экономической ситуации как на региональном, так и на федеральном уровне.

Например, в результате резкого роста цен на ГСМ, транспортные компании вынуждены запрашивать большую цену за свои услуги, чтобы компенсировать затраты на топливо. Предприятие, в связи с этим, терпит убытки, оплачивая транспортировку продукции по завышенным тарифам.

В данном случае следует упомянуть и отраслевые риски. Их наличие – результат изменений экономической составляющей определенной отрасли производства.

По источнику воздействия

Природный затрагивает все социально-экономические сферы общества. Он выражается в виде вреда, наносимого человеку вследствие различных природных аномалий: тайфунов, цунами, ураганов. О крайней степени подобного типа упоминают, когда возникает потенциальная угроза для здоровья и жизни людей.

Техногенный характеризуется как наиболее вероятный негативный сценарий по причине нарушений требований и инструкций при работе с оборудованием конкретного объекта. Такой риск проявился в полной мере, например, при взрыве реактора ЧАС.

Социальный риск – понятие, тесно связанное с жизнедеятельностью человека. Оно вмещает в себя все пагубные факторы политического, экономического, социологического, производственного характера, которые могут привести к нетрудоспособности человека или же ограничить его возможности в трудовой и общественной деятельности.

Примерами могут служить так называемые асоциальные элементы, которые в силу своей низкой социальной адаптации не смогли стать полноправными членами общества.

Политическим риском называют гипотетически возможное развитие событий политического характера, появление которых будет чревато негативными последствиями, препятствующими успешному выполнению определенный задач в экономике, производстве и финансовой сфере. Так, повышение налогов, вызванное государственной реформой, ударит по карману частных предпринимателей.

Сущность экономического риска составляют неуместные, с точки зрения эффективной экономической деятельности, обстоятельства, которые приводят к убыткам и всевозможным осложнениям.

Примером тому может служить ситуация, в которой окажется страховая компания, в случае если застрахованные антикварные вещи, представляющие огромную культурную ценность, сгорят в результате пожара, вызванного коротким замыканием в электропроводке.

По источнику возникновения

Внешний или рыночный является результатом факторов внешней среды, которые подвергаются всевозможным изменениям. Иными словами предприятие никак не влияет на характер протекания данного типа. На формирование внешних рисков в менеджменте влияет целый ряд факторов политического, экономического, географического и социального характера.

Пример: нестабильная ситуация в реформировании налогового законодательства негативным образом сказывается на доходах частного предпринимателя.

Внутренний напротив, имеет непосредственное отношение к процессам внутри конкретной организации. Чаще всего, его появление продиктовано неквалифицированной работой специалистов, занимающихся планированием финансовой деятельности предприятия. Его нередко называют казначейским.

Пример: нерациональная ценовая политика приводит к тому, что спрос на товар падает – компания терпит убытки.

По механизму возникновения

По данному критерию выделяют три типа рисков:

• вызванные нарушениями в жизнедеятельности/работе предприятия,
• вызванные природными катаклизмами и непредвиденными ситуациями социального и техногенного характера,
• возникающие вследствие пагубных тенденций кризисного характера.

По степени влияния на жизнедеятельность человека

Допустимый или же приемлемый риск представляет собой минимально возможную долю вероятности, исходя из конкретных технических и экономических предпосылок. Его также можно назвать чистым риском. Так, в результате исследований выяснилось, к примеру, что индивидуальная вероятность смерти жителей составляет в среднем 10-8 в год.

Критический риск, в зависимости от присваиваемой ему степени, характеризуется как негативный исход какого-либо мероприятия, при котором эффективность/прибыль находится на крайне низком уровне. Нередко, сталкиваясь с подобными рисками, компании не только не получают ожидаемого результата, но остаются в тяжелом финансовом положении.

Катастрофический риск в первом случае является следствием природных явлений разрушительного характера. Они могут являть собой как спонтанное, так и естественное, для данной местности, явление. В зависимости от этого степень риска будет меняться. Так, из-за постоянных тайфунов многие предприятия Японии подвергаются разрушению, а это пагубным образом отражается на развитии всей промышленности страны в целом.

Во втором случае, т. е. с позиции рентабельности предприятия, катастрофический риск рассматривается как угроза, влекущая за собой частичное или полное его банкротство.

К катастрофическому риску в некоторой степени относят и системный риск. Последний характеризуется крайне неблагоприятными последствиями, которые ставят под угрозу финансовую устойчивость всей компании.

По возможности страхования

Страхуемый легко поддаётся анализу и прогнозированию, вследствие чего может подлежать страхованию. Степень убыточности в результате такого риска можно легко определить, поэтому страховые фирмы вносят его в перечень рисков, подлежащих покрытию.

Таким образом, чем выше «прозрачность» риска, тем больше вероятность того, что он приобретёт статус страхуемого. К такому виду можно отнести риск смерти, риск получения инвалидности и т. п.

Не страхуемый риск подпадает под категорию, страховать которую не берутся ввиду крайней непредсказуемости.

К ним относятся все спекулятивные виды рисков. Например, конкуренция в выборе более качественных товаров и услуг.

По возможности предвидения

Прогнозируемый легко поддается анализу и изучению. Его можно отслеживать на протяжении всех этапов формирования. Он не меняет своего поведения в течение длительного времени и характеризуется рядом специфических черт.

Так, цикличные процессы в экономике позволяют предвосхищать все дальнейшие события с высокой степенью вероятности.

Непрогнозируемый не поддается никакому анализу, и его появление трудно предугадать. К нему можно отнести инфляционный и процентный риски.

По частоте реализации

Высокие возникают с наибольшей долей вероятности. Высокий процент реализации подобных рисков вызван их повторяемостью при соблюдении определенных условий.

Средние обладает меньшей вероятностью. Тем не менее их появление можно с успехом предвосхищать, но только с меньшей долей уверенности.

Малые редко возникают при прочих равных условиях. Их появление чаще всего ничем не обосновано. Вероятность их реализации крайне мала.

По времени проявления

Постоянный – риск, который в большей степени приемлем в сложившейся ситуации. Приемлемость в данном случае подтверждается наименьшим уровнем затрат и отказом от каких-либо изменений ввиду их финансовой нецелесообразности.

Например, выбросы токсичных отходов производства в атмосферу оправданы с экономической точки зрения. Решение экологической проблемы повлечет за собой затраты, что не выгодно для предприятия.

Временный даёт о себе знать на определенном этапе реализации любого вида деятельности. Он носит временный характер и проявляет себя при наличии определенных внешних факторов. Например, логистический риск.

Кроме этого стоит упомянуть и про ресурсные риски. Поводом к их появлению, как правило, служит слабая степень надежности ресурсов, не способных противостоять влиянию изменяющихся внешних факторов. К примеру, малое количество рабочей силы, недостаток материалов и техники – всё это приводит к появлению ресурсных рисков.

Для более подробного ознакомления со всевозможными видами рисков можно воспользоваться сводной таблицей:

Заключение

Риск – неотъемлемая часть любого вида деятельности. Представленная классификация позволит выявлять причины и последствия подобного явления и претворить в жизнь целый комплекс методов и приёмов, которые помогут выработать наиболее эффективную стратегию для достижения поставленных целей.

НОУ ИНТУИТ | Лекция | Управление риском

Аннотация: Выявление и оценка риска в проекте. Выявление источников риска. Анализ и оценка риска. Анализ сценария (а): неколичественный. Анализ с использованием поправочных коэффициентов и допусков. Анализ смешанного типа. Реакция на риск. Снижение или сохранение риска. Переадресация риска. Участие в рисках. Планирование на случай непредвиденных обстоятельств. Риски, связанные с выполнением графика работ. Использование резервов времени. Авторитарно установленные сроки работы. Сжатие графиков проекта. Риски затрат.Зависимость время — затраты. Решение о движении наличности. Прогнозы окончательных затрат. Риски защиты цен. Технические риски. Создание резервов на случай непредвиденных обстоятельств. Сметные резервы. Резервы управления. Ответственность за проектные риски. Изменение методов управления контролем. Pert и pert-моделирование. Pert — метод оценки и проверки программ. Pert-моделирование.

Каждый управляющий проектом понимает, что проект неизбежно таит в себе риски, причем все их устранить не удастся.

В контексте проекта риск — это вероятность наступления нежелательного события и всех его возможных последствий

Некоторые нежелательные события можно выявить еще до начала проекта, некоторые нельзя ни предвидеть, ни даже вообразить.

Управление риском нацелено на то, чтобы определить как можно больше возможных отрицательных событий (того, что может пойти не так), минимизировать их влияние (определить, что можно сделать до начала проекта), постараться справиться с реакцией на те события, которые все же произойдут (спланировать действия в чрезвычайных обстоятельствах) и обеспечить средства на покрытие непредвиденных расходов.

На рис. 5.1 представлена графическая модель дилеммы управления риском.

Рис. 5.1. График возможностей риска

Возможность события, связанного с риском (например, возможность возникновения ошибки в расчетах времени, затрат или проектной технологии), наиболее велика на стадиях выработки концепции, планирования и начала работы над проектом.

Выявление и оценка риска в проекте

Планирование проектного риска формально связано с выявлением, анализом и оценкой потенциальных проблемных участков до начала работы над проектом.

Основными составляющими процесса управления риском являются:

1. Выявление источников риска;
2. Анализ и оценка риска;
3. Определение реакции на риск;
4. Планирование расходов в чрезвычайных обстоятельствах;
5. Создание резервов на случай чрезвычайных обстоятельств.

Выявление источников риска

Выявление источников риска начинается с составления списка всех факторов, которые могут затормозить работу над проектом или вовсе помешать его реализации, а также результатов их воздействия.

Лучше начинать с рисков, относящихся к проекту в целом, а не к какому-либо конкретному участку. То есть, надо дать возможность членам команды мыслить глобально, не ограничивая их внимание каким-либо конкретным участком проекта или сети.

Среди поставленных вопросов могут быть такие:

1. Насколько квалификация ваших специалистов соответствует требованиям к выполнению данного проекта?
2. По сравнению с большинством наших проектов, является ли степень новизны данного проекта высокой, средней или низкой?
3. Который из факторов данного проекта — затраты, время или функциональное выполнение, по вашему мнению, связан с наибольшим риском? Почему?

После выявления макрорисков можно перейти к проверке конкретных участков.

Эффективным инструментом выявления рисков является СРРПЭ (структура разбиения работ по этапам).

Использование СРРПЭ снижает вероятность пропуска возможного риска

Существует множество источников проектных рисков.

Внешние источники по отношению к организации, как, например, инфляция, рыночная ситуация, валютный курс или правительственные меры рассматривают до того, как дать добро на проект вообще, и исключаются из дальнейшего обсуждения проектных рисков.

Риски, зависящие от конкретного проекта, также не учитываются.

Далее речь идет только о рисках, характерных для большинства проектов.

Для каждого выявленного риска должно быть определено следующее:

• Нежелательные события;
• Все последствия события;
• Степень серьезности влияния события;
• Вероятность того, что событие обязательно произойдет;
• Время, когда вероятное событие произойдет;
• Взаимосвязь данного события с другими частями этого же проекта или с другими проектами.

Анализ и оценка риска

Анализ риска нацелен на то, чтобы дать количественную оценку степени серьезности выявленного события, вероятности его наступления и чувствительности проекта к нему.

В качестве отправной точки для анализа можно разработать матрицу, подобную той, что показана в табл. 5.1.

Таблица 5.1. Матрица оценки риска

Событие	Вероятность	Степень серьезности	Трудность обнаружения	Время
Зависание системы	Низкая	Высокая	Высокая	Начало
Жалобы пользователя	Высокая	Средняя	Средняя	После установки
Плохая работа оборудования	Низкая.	Высокая	Высокая	Установка

Матрица оценки риска — это один из множества подходов к оценке риска.

Оценки бывают как субъективными, так и количественными.

Чаще всего оценки основываются на «мнении специалиста» или «внутреннем голосе», но они могут быть ошибочными, так как зависят от квалификации специалиста, выносящего суждение.

Количественные методы обычно требуют более детального анализа фактов, поэтому они более надежны.

Типичными количественными методами являются анализ коэффициентов, анализ вероятности и анализ чувствительности.

Выбор подхода — субъективного или же количественного — зависит от источника риска, возможных последствий и от отношения менеджеров к оценке степени риска.

Анализ сценария (А): неколичественный

Это один из первых и наиболее распространенных методов.

В основном данный метод определяет, что отрицательного может произойти, степень серьезности вероятных событий, вероятность того, что это может случиться.

На основе субъективного мнения об этих переменных строится оценка альтернатив: принять или снизить, разделить или переложить риск через использование субъективного процесса на источник рентабельности.

Анализ с использованием поправочных коэффициентов и допусков

В этом методе используются данные о предыдущих проектах, сходных с предлагаемым.

На основе принятия некоторого поправочного коэффициента между старым и новым проектами делаются точечные оценки времени, стоимости или технологии, а также нижнего и верхнего предела точности оценки.

Коэффициент, как правило, является постоянной величиной.

Анализ смешанного типа

Многие менеджеры неохотно применяют количественные методы из-за их ограниченных возможностей.

По мнению таких менеджеров, подобные модели не могут полностью использовать весь объем накопленных ими знаний.

Все больше растет признание эвристических моделей, использующих знания и практический опыт управленцев.

Некоторые исследователи предлагают переносить подобный практический опыт в экспертные системы, с тем, чтобы дать доступ к нему как можно большему числу практиков.

Экспертная система использует иерархическую структуру выводов, позволяющую менеджеру отбирать основные факторы риска и в конечном итоге работать по ходу событий.

Реакция на риск

Варианты реакции на риски:

• снижение или сохранение риска;
• переадресация риска;
• участие в рисках.

Снижение или сохранение риска

Обычно первой рассматриваемой альтернативой является снижение риска.

Пример проекта строительства моста является иллюстрацией снижения риска.

Проект нового моста для берегового порта должен был использовать инновационный процесс непрерывной заливки цемента, разработанный в целях экономии времени и огромных денежных средств.

Основной риск состоял в том, что непрерывный процесс заливки в каждой секции моста действительно не должен был прерываться.

Любой сбой мог бы привести к тому, что всю цементную секцию (сотни кубических ярдов) надо было разрушать и все начинать заново.

При оценке возможных рисков все внимание уделили доставке цемента с завода.

Цементовозы могли задержаться в пути или завод мог встать.

Такие риски могут привести к огромным затратам на переделку уже сделанного и отставанию от графика.

Риск снизили, построив два дополнительных передвижных цементных завода на разных магистралях всего в 20 милях от проектируемого моста на случай выхода из строя основного завода-поставщика.

Аналогичные сценарии снижения рисков применяются в проектах разработки систем и математического обеспечения, где используются параллельные инновационные процессы на случай сбоя одного из них.

В некоторых случаях сознательно идут на сохранение риска.

Владелец проекта просто принимает риск как должное, так как возможность такого риска очень мала.

Переадресация риска

Переадресация риска другой стороне — дело достаточно обычное; переадресация не меняет риск.

Переадресация риска другой стороне почти всегда приводит к выплате надбавки за нее.

Контракты с фиксированными ценами являются классическим примером переадресации риска от владельца к подрядчику. Подрядчик понимает, что его фирма заплатит за любой риск, который будет иметь место.

Следовательно, фактор финансового риска добавляется к стоимости контракта.

Крайне необходимо четко определить и письменно закрепить ответственность за работу с риском. Одним из способов переадресации является страхование.

Участие в рисках

Участие в рисках означает, что разные стороны принимают на себя части риска.

Обычно затраты на риск и выгоды от усовершенствованного процесса делятся пополам между владельцем и подрядчиками.

виды, уровни, оценка и управление профессиональными рисками работников на предприятии

Согласно действующему законодательству создание системы управления охраной труда, в которую входит управление профессиональными рисками, — обязанность каждого российского работодателя. Кроме того, подобные меры повышают безопасность бизнеса в целом и позволяют правильно организовать социальное страхование сотрудников.

Однако, чтобы управлять любыми явлениями, в том числе рисками, сначала их необходимо выявить и оценить. Давайте посмотрим, как этот процесс организуется в сфере охраны труда.

Понятие профессиональных рисков

Вероятность ущерба здоровью, возникающая в результате исполнения трудовых обязанностей, называется профессиональным риском. Они существуют практически в любой профессии, а ущерб здоровью могут нанести следующие производственные факторы:

• физические — шум, вибрация, перепады температур, воздействие ионизирующих и неионизирующих излучений и прочее;
• химические — взаимодействие с вредными веществами;
• биологические — взаимодействие с растениями, животными, микроорганизмами;
• тяжесть трудового процесса — все, что связано с физическими нагрузками и положением тела в пространстве во время работы;
• напряженность трудового процесса — нагрузка на органы восприятия.

Вредные и/или опасные факторы производства в исчерпывающем виде изложены в соответствующем классификаторе, утвержденном приказом Минтруда России от 24 января 2014 года №33н (Приложение №2). Также Минздравсоцразвития России был утвержден Перечень вредных и/или опасных производственных факторов, при наличии которых проводятся обязательные предварительные и периодические медицинские осмотры (обследования), (Приложение №1 к приказу от 12 апреля 2011 года №302н).

Помимо этого, существует Классификации видов экономической деятельности по классам профессионального риска, утвержденная приказом Минтруда России от 30 декабря 2016 года №851н. Кстати, этот документ, в котором проведено деление хозяйственной деятельности на 32 класса профессионального риска с учетом кодов ОКВЭД, используется для определения тарифов взносов на страхование от несчастных случаев (см. табл. и ниже по тексту — Нормативную базу).

Таблица. Зависимость размера страхового взноса на страхование от несчастных случаев от класса профессионального риска.

Класс профессионального риска	Размер страхового тарифа, %	Класс профессионального риска	Размер страхового тарифа, %
I	0,2	XVII	2,1
II	0,3	XVIII	2,3
III	0,4	XIX	2,5
IV	0,5	XX	2,8
V	0,6	XXI	3,1
VI	0,7	XXII	3,4
VII	0,8	XXIII	3,7
VIII	0,9	XXIV	4,1
IX	1,0	XXV	4,5
X	1,1	XXVI	5,0
XI	1,2	XXVII	5,5
XII	1,3	XXVIII	6,1
XIII	1,4	XXIX	6,7
XIV	1,5	XXX	7,4
XV	1,7	XXXI	8,1
XVI	1,9	XXXII	8,5

Все перечисленные выше факторы рисков могут приводить к различным травмам и профессиональным заболеваниям. Приведем самый простой пример воздействия физических факторов:

• По санитарным нормам в холодные месяцы температура воздуха в офисах должна составлять 22–24°С[1]. Если центральная отопительная система не обеспечивает этой температуры и в помещениях нет обогревателей, сотрудники подвергаются переохлаждению и, как следствие, могут заболеть.

Таким образом, возникновение простудных заболеваний может быть отнесено к профессиональным рискам. Однако это несопоставимо с профессиональными рисками, ведущими к инвалидности или смерти. Поэтому логично выделять уровни рисков.

Низкий уровень риска предполагает вероятность кратковременного расстройства здоровья. Существенным считается уровень риска, при котором может быть нанесен средний и легкий вред здоровью. Если здоровью может быть нанесен в том числе тяжкий вред, такой уровень риска называют высоким. Наивысший уровень — смертельный[2].

К сведению
По данным Министерства труда, в России 21% рабочих мест являются потенциально опасными или вредными для здоровья[3]. При этом в нашей стране нет статистических данных о профессиональных рисках офисных работников. Однако это не отменяет ответственности работодателя и обязывает его контролировать условия труда на рабочих местах в офисах. В противном случае компании может быть начислен штраф[4].

Количество и разнообразие рисков, которым могут подвергаться люди на своих рабочих местах, требуют системной организации охраны труда. Нормативную базу в этой сфере, помимо прочих, составляют:

• статьи 209 и 212 Трудового кодекса Российской Федерации, где даются определения охраны труда и связанных с ней терминов, разъясняются обязанности работодателя;
• Федеральный закон от 28 декабря 2013 года №426-ФЗ «О специальной оценке условий труда»;
• Федеральный закон от 24 июля 1998 года №125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 22 декабря 2005 года №179-ФЗ «О страховых тарифах на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний на 2006 год»;
• Федеральный закон от 25 декабря 2018 года №477-ФЗ «О страховых тарифах на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний на 2019 год и на плановый период 2020 и 2021 годов»;
• ГОСТы из серии «Система стандартов безопасности труда» (ССБТ), а также санитарно-эпидемиологические правила и нормативы (СанПиН) и отраслевые стандарты (ОСТы), в которых определены стандарты решения методических и организационных вопросов; требования к предельным значениям опасных факторов, к надежности оборудования, процессов, зданий и сооружений; средства защиты работников предприятий, и так далее. Особого внимания заслуживают национальные и межгосударственные стандарты:
  • ГОСТ Р 12.0.007-2009. ССБТ. Система управления охраной труда в организации. Общие требования по разработке, применению, оценке и совершенствованию;
  • ГОСТ 12.0.230-2007. ССБТ. Системы управления охраной труда. Общие требования;
  • ГОСТ 12.0.230.1-2015. ССБТ. Системы управления охраной труда. Руководство по применению ГОСТ 12.0.230-2007;
  • ГОСТ 12.0.003-2015. ССБТ. Опасные и вредные производственные факторы. Классификация;
  а также санитарно-эпидемиологические правила и нормативы, в особенности:
  • СанПиН 2.2.4.3359-16. Санитарно-эпидемиологические требования к физическим факторам на рабочих местах;
  • СП 2.2.2.1327-03. 2.2.2. Гигиена труда. Технологические процессы, материалы и оборудование, рабочий инструмент. Гигиенические требования к организации технологических процессов, производственному оборудованию и рабочему инструменту. Санитарно-эпидемиологические правила;
  • СанПиН 2.4.6.2553-09. Санитарно-эпидемиологические требования к безопасности условий труда работников, не достигших 18-летнего возраста. Санитарно-эпидемиологические правила и нормативы.

Кроме того, руководителям организаций следует учитывать общегосударственные и отраслевые руководства и методические рекомендации, например:

• приказ Минтруда России от 19 августа 2016 года №438н «Об утверждении Типового положения о системе управления охраной труда»;
• Р 2.2.1766-03. 2.2. Гигиена труда. Руководство по оценке профессионального риска для здоровья работников. Организационно-методические основы, принципы и критерии оценки. Руководство;
• МР 2.2.0138-18. 2.2. Гигиена труда. Оценка профессионального риска на химических производствах. Методические рекомендации;
• МР 2.2.0085-14. 2.2. Гигиена труда. Оценка и прогноз профессиональной надежности и профессионального риска водителей различных автотранспортных средств. Методические рекомендации;
• МДС 12-16.2003. Рекомендации по разработке локальных нормативных актов (стандартов предприятий), применяемых в системе управления охраной труда строительной организации;
• МДС 12-27.2006. Методическое пособие по проведению обучения по охране труда руководящих работников и специалистов строительных организаций.

Работодателям полезно изучать публикации в специализированных СМИ по охране труда. В них часто разбираются случаи из судебной практики, даются образцы инструкций и другие типовые документы.

Профессиональные риски и их оценка в охране труда

Следует понимать, что полностью исключить профессиональные риски практически невозможно. В связи с этим, в комплекс мер по оценке рисков в охране труда входят: выявление профессиональных рисков, оценка и снижение их уровня.

Для выявления и оценки профессиональных рисков необходимы:

• производственный контроль;
• государственный санэпиднадзор;
• санитарно-эпидемиологическая оценка средств производства;
• СОУТ.

Каждое из этих мероприятий включает:

1. Осмотр рабочих мест, который позволяет выявить вредоносные факторы производственной среды (уже существующие или возможные), а также виды работ, во время которых сотрудники могут подвергаться воздействию этих факторов.
2. Сбор данных для сопоставления их с действующими нормативами.
3. Оценка возможности полного устранения или снижения опасности до минимально допустимого уровня.

Таким образом, чтобы оценить профессиональные риски, потребуется привлечь специалистов инженерно-технической и научной направленности. Для определения уровней риска также нужны методические пособия, специализированные таблицы, базы данных и программное обеспечение.

Следует учитывать, что помимо условий труда, важными факторами риска являются компетентность работодателя и сотрудника в вопросах производственной безопасности. Управление компетентностью включает в себя обучение, в том числе целевой инструктаж (например, перед массовыми мероприятиями), моральное и материальное стимулирование, дисциплинарные взыскания. Если сотрудник более года отсутствовал на рабочем месте (например находился в декретном отпуске), после возвращения к работе требуется внеочередная проверка его знаний[5].

Это важно!
Единых методических указаний по управлению профессиональными рисками пока не существует. Одна из причин — огромное разнообразие профессий и рисков. В одну только Систему стандартов безопасности труда (ССБТ) по состоянию на 2020 год входит около 400 документов[6].

Действия, снижающие риски и обеспечивающие управление ими:

1. Устранение опасности или риска. Мероприятия, включающие модификацию оборудования и технологических процессов. Например, внедрение технических устройств для защиты сотрудников от поражения электрическим током.
2. Замена одного риска другим. Мероприятия, направленные на использование материалов, веществ, процессов, выполняющих те же функции, но менее опасных.
3. Технические меры направлены на изолирование людей от опасности. Классическим примером могут служить защитные ширмы, шторы и экраны для персонала рентгеновских кабинетов.
4. Административные меры. Постоянный административный контроль, проверка оборудования, информирование сотрудников о правилах и условиях труда на рабочих местах.
5. Использование средств индивидуальной защиты (СИЗ). Необходимо не только организовать выдачу средств защиты по типовым отраслевым нормам, но и следить за их использованием и техническим обслуживанием.
6. Поведенческий аудит безопасности. Мероприятия, направленные на закрепление полученных результатов и снижение опасных действий, возникающих в силу человеческого фактора. Например, сотрудники могут неправильно использовать средства защиты, забывать включать дополнительное освещение или обогреватели, устраивать сквозняки, создавать травмоопасные ситуации. Все это можно выявить и скорректировать в результате поведенческого аудита.

Указанные мероприятия и действия проводятся в соответствии с планом, который составляют специалисты по охране труда и утверждает руководство компании. План представляет собой перечень работ и сроков их выполнения с указанием ответственных лиц.

Итак, профессиональные риски могут отличаться не только в одной отрасли, но и в одной компании на одном рабочем месте для разных сотрудников. Правильно оценить все факторы риска, разобраться в каждом конкретном случае и дать грамотные рекомендации могут только опытные специалисты, сертифицированные Министерством труда и социальной защиты РФ.

Управление рисками – это искусство различать, с чем вы имеете дело, с опасностью или шансом

Цели и назначение процесса управления рисками на предприятии

Методика определения угроз и возможностей

Порядок определения угроз и возможностей, на которые необходимо реагировать предприятию

 

В современных условиях высокой рыночной конкуренции и постоянно меняющихся покупательских предпочтений трудно представить себе успешно развивающуюся компанию, в которой не налажен процесс управления рисками.

Управление рисками прежде всего необходимо для принятия управленческих решений в условиях, требующих выбора одного из нескольких вариантов при отсутствии определенности и однозначности преимуществ какого-либо решения.

Многие руководители считают, что они и без специальных технологий управления прекрасно видят возможные риски для компании и смогут вовремя их устранить, основываясь на собственном опыте и интуиции. Они ошибаются, и мы видим огромное количество примеров, когда крупные корпорации испытывают большие трудности в бизнесе или приходят к банкротству именно из-за ошибочных действий руководства.

Даже суперпрофессиональный руководитель не может контролировать качество всех бизнес-процессов и технологических операций компании без выделения управления рисками в отдельный процесс и вовлечения в него всех ключевых менеджеров компании. А если говорить о небольшом бизнесе, то по статистике в течение первого года работы закрываются около 90 % вновь созданных предприятий, и большинство из них — именно по причине некачественного управления предпринимательскими рисками.

ЦЕЛИ И НАЗНАЧЕНИЕ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ НА ПРЕДПРИЯТИИ

По общепринятой в менеджменте рисков классификации под риском подразумевается событие или стечение обстоятельств, которое в случае его реализации может существенным образом повлиять на достижение стратегических целей и текущих задач компании. Влияние риска может оказаться как негативным, т. е. несущим угрозы бизнесу, так и позитивным, предоставляющим возможности для его развития. Именно поэтому процесс управления рисками можно назвать искусством различать, что представляет собой выявленный риск — опасность для деятельности компании или наоборот, шанс ее улучшить.

Система управления рисками — это процесс, осуществляемый как руководством компании, так и ее сотрудниками. Цель этого процесса — выявить потенциальные события, которые могут повлиять на результаты деятельности компании — как положительно, так и отрицательно, и обеспечить приемлемые для компании уровень угроз или степень реализации возможностей.

Специфическая особенность данного процесса состоит в том, что он охватывает все без исключения бизнес-процессы компании и реализуется в рамках как внешнего, так и внутреннего контекстов бизнеса (рис. 1).

Основные принципы управления рисками:

1. Управление рисками — неотъемлемая часть ежедневного процесса управления, которая предполагает, что каждый сотрудник обязан выявлять и оценивать риски для наиболее эффективного принятия управленческих решений.

2. Все риски, которые возникают по внешним или внутренним причинам и могут значительно повлиять на достижение целей предприятия, должны идентифицироваться, оцениваться и документироваться, а на основе этой информации — разрабатываться мероприятия по рискам.

3. Процесс управления рисками подразумевает применение единого и стандартизированного подхода к выявлению, оценке и работе с рисками.

4. Руководители всех уровней несут ответственность за своевременное выявление рисков, их оценку, разработку мероприятий по управлению рисками и информирование всех заинтересованных сторон, в том числе работников, о рисках, влияющих на достижение поставленных перед ними целей, а также за накопление знаний о рисках и анализ реализовавшихся рисков.

5. В процессе управления рисками необходим разумный баланс издержек на управление риском и величины возможного ущерба или выгоды от наступления рискового события: если уровень риска приемлемый, а затраты на управление риском превышают возможный эффект, дополнительные мероприятия по работе с этим риском не нужны.

Методы управления рисками (рис. 2):

1. Снижение риска подразумевает воздействие на риск путем снижения вероятности реализации риска или уменьшения негативных/усиления позитивных последствий в случае реализации риска в будущем.

2. Перенос риска предполагает передачу риска (в том числе частичную) другой стороне (например, заключаются договоры страхования, хеджирования, аутсорсинга и др.) — это позволяет уменьшить негативное или усилить позитивное влияние риска на достижение целей компании.

3. Принятие риска допускает возможное наступление последствий риска с определением конкретных источников покрытия ущерба от негативных последствий.

4. Уклонение от риска означает отказ от совершения действий/мероприятий/целей, характеризующихся высокой степенью риска.

Теперь поговорим о том, как управлять рисками.

МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ И ВОЗМОЖНОСТЕЙ ДЛЯ ЦЕЛЕЙ ПРЕДПРИЯТИЯ

Алгоритм процесса управления рисками представляет собой последовательную цепочку процедур, которые помогают руководству компании эффективно минимизировать угрозы и использовать возможности для достижения целей предприятия (см. схему).

Рассмотрим эти этапы подробнее.

 

1. Выявляем риски.

На этом этапе определяем внутренние или внешние события, реализация которых может негативно или позитивно отразиться на достижении целей компании.

 

Как выявлять риски?

В первую очередь риски выявляют:

• в рамках ежегодного цикла планирования;

• в ходе анализа деятельности компании и пересмотра ее целей и бюджета;

• в текущем режиме анализа эффективности процессов компании;

• в ходе производственных совещаний и индивидуальных бесед с сотрудниками компании.

 

По итогам процедуры выявления рисков формируется классификатор рисков компании и назначаются ответственные по каждому из рисков.

 

2. Оцениваем риски.

Главная цель оценки рисков — определить уровень рисков и выделить наиболее значимые (критические) риски, которые могут негативно или позитивно влиять на деятельность компании и достижение ее стратегических целей.

А. А. Гребенников,
главный экономист ГК «Резон»

компонентов риска — это … Что такое компоненты риска?

Оценка риска — это обычный первый шаг в процессе управления рисками. Оценка риска — это определение количественного или качественного значения риска, связанного с конкретной ситуацией и признанной угрозой. Количественная оценка риска требует расчетов … … Википедия

Управление рисками — Информацию о рисках, не связанных с бизнесом, см. На странице анализа рисков, а также на странице устранения неоднозначностей.Управление рисками — это идентификация, оценка… Википедия

Спектр доходности к риску — Спектр доходности к риску — это соотношение между суммой прибыли, полученной от инвестиции, и суммой риска, принятого в этой инвестиции .fact | date = September 2007 Чем больше искомая прибыль, тем больше риск должны быть предприняты. Википедия …

оценка рисков — Идентификация, анализ и измерение * рисков, связанных с деятельностью или организацией.Оценка риска включает в себя начальные этапы * управления рисками и является одним из пяти компонентов эффективного * внутреннего контроля, указанного в…… словаре аудитора

Меры риска — Статистические показатели, которые являются историческими предикторами инвестиционного риска и волатильности и основными компонентами в современной теории портфеля (MPT). MPT — это стандартная финансовая и академическая методология оценки эффективности акций или акций…… Инвестиционный словарь

анализ рисков — Процесс, состоящий из трех компонентов: оценка рисков, управление рисками и информирование о рисках, выполняемые для понимания природы нежелательных, негативных последствий для здоровья человека и животных или окружающей среды… Глоссарий биотехнологии

Консорциум по снижению риска в Непале — (NRRC) был создан правительством Непала (GoN) и группой международных организаций, работающих над продвижением Международной стратегии ООН по уменьшению опасности стихийных бедствий (ISDR) в 2009 году.Он существует, чтобы соединить спектр развития и…… Википедия

Управление рисками предприятия — В бизнесе управление рисками предприятия (ERM) включает методы и процессы, используемые организациями для управления рисками и использования возможностей, связанных с достижением их целей. ERM обеспечивает основу для управления рисками, которая…… Wikipedia

Комиссия по оценке рисков и управлению рисками — (также известная как Президентская комиссия / Комиссия Конгресса по оценке рисков и управлению рисками) была комиссией, уполномоченной в рамках поправок к Закону о чистом воздухе 1990 года разрабатывать рекомендации о том, как экологические нормы Соединенных Штатов Защита… Википедия

SOX 404 нисходящая оценка риска — При финансовом аудите государственных компаний в США, SOX 404 нисходящая оценка риска (TDRA) представляет собой оценку финансового риска, выполненную в соответствии с разделом 404 Закона Сарбейнса-Оксли 2002 года (SOX 404).Этот термин используется в США… Википедия

Политический риск — это тип риска, с которым сталкиваются инвесторы, корпорации и правительства. Это риск, который можно понять и управлять им с надлежащей предусмотрительностью и инвестициями. Вообще говоря, политический риск относится к осложнениям, с которыми могут столкнуться компании и правительства … ,

Компоненты плана управления рисками

Немногие проекты осуществляются без сбоев, особенно когда отношения между клиентом и спонсором не прочны. Вот почему я бы сказал, что управление рисками является одним из наиболее важных компонентов управления проектами.

Когда происходят неожиданные события, становится ясно, что идентификация и анализ рисков являются центральным зубчатым колесом, предотвращающим превращение небольших аварий в полные катастрофы проекта.

Для обеспечения бесперебойной работы проектов руководитель проекта должен создать план управления рисками.

Формат

Нет указания по длине. Самое главное, что критически важная информация на месте.

Для небольших планов управления рисками они могут быть частью более крупного плана управления проектами. Для более крупных, более сложных или высокочувствительных проектов они могут быть отдельным документом, но их следует обобщить в плане управления проектами, поскольку он все еще является его подмножеством.

Компоненты

Существует шесть компонентов хорошего плана управления рисками:

1. Определения
2. предположений
3. Структура структуры риска
Матрица вероятности воздействия
5. Оценки точности (стоимость и график)
6. Реестр рисков

Первые пять — это просто разные способы анализа общего риска проекта.Реальное управление рисками проекта происходит в реестре рисков, поэтому я буду проводить там большую часть своего времени.

Определения

В будущих разделах будут определены риски и дан рейтинг приоритетности, такой как «высокий / средний / низкий». В Матрице вероятности и воздействия будут такие категории, как «Вероятность 0,05 = очень низкая». Этот раздел определяет, что они означают, и использует слова, чтобы прояснить их. Обычно выписывается определение, например:

• Очень низкий уровень: Это событие вряд ли произойдет при обычных обстоятельствах.
• Низкий: Мероприятие маловероятно, но должно быть отмечено командой проекта.
• Средний: Событие имеет нормальный шанс, и команда проекта должна знать об этом.
• Высокая: Событие имеет достаточную вероятность наступления. Следует регулярно обсуждать и принимать меры по смягчению.
• Очень высокий: Событие должно активно контролироваться, и должны быть приняты меры по смягчению последствий.

Предположения

Предположения проекта имеют большое влияние на анализ рисков.Задайте себе эти вопросы.

• Какие предположения поддерживают стоимость проекта?
• Какие предположения поддерживают график проекта (дата завершения, этапы и т. Д.)?
• Какой опыт или опыт у компании есть в этой работе? Как давно был этот опыт? Какие области требуют дополнительного обучения?
• Какие отношения предполагаются прочными, которые не обязательно (владелец, спонсор, клиент, подрядчик, консультант)?
• Сколько предыдущих проектов с подобными компонентами были успешно завершены? Каковы были проблемы проекта?

Структура структуры риска

Это категорический перечень основных категорий риска, и он очень специфичен для отрасли.Например, И.Т. Проект будет выглядеть примерно так:

Институт управления проектами только недавно включил структуры разбивки рисков в Свод знаний по управлению проектами, и я признаю, что не вижу в них огромной ценности. Я вижу ценность, да, но не огромную ценность. Это помогает идентифицировать риски, т. Е. При разработке реестра рисков вы можете убедиться, что каждой категории было уделено должное внимание. Но в остальном это не критическая составляющая плана.

Матрица вероятности воздействия

Поскольку риск определяется как Вероятность x Воздействие , оба фактора необходимо учитывать при определении приоритета каждого события риска. Таким образом, матрица вероятности-влияния дает вам более подробное определение структуры вероятности и воздействия, используемой регистром рисков (подробнее об этом позже). Матрица помогает вам рассмотреть оба фактора и устанавливает этап для определения числовой вероятности и значений воздействия для каждого события риска.

Оценки доверия

Хороший план управления рисками должен иметь своего рода оценки доверительных интервалов, особенно для более крупных и сложных проектов. Они отлично подходят для прочтения руководства и обсуждения. Это просто анализ группой управления рисками (или руководителем проекта) потенциального отклонения от плана проекта.

Это может быть как простая / средняя / высокая вероятность, так и сложный статистический анализ вероятности соблюдения сроков.

Реестр рисков

Как я упоминал ранее, настоящее мясо и картофель плана управления рисками занесены в реестр рисков. Он содержит список наиболее важных рисков, с которыми сталкивается проект, и то, как с ними справится команда управления проектом. Регистр риска обычно находится в форме таблицы и имеет следующие столбцы:

1. Название риска / описание
   Событие риска можно описать с помощью дескрипторов, таких как «Подрядчик может понести дополнительные расходы на поставку материалов и попытаться передать их нам.«Идентификация риска — довольно трудоемкая работа, от которой не следует отказываться. Смотрите наш список потенциальных рисков.
2. Вероятность
   Вероятность наступления события. Если возможно, следует использовать числовое значение от 0 до 1, которое можно умножить на Воздействие (следующий столбец), чтобы определить значимые значения риска. Но для небольших проектов 1-10 или «низкий / средний / высокий» также являются удовлетворительными.
3. Воздействие
   Воздействие события риска.Опять же, число от 0 до 1 или значение в долларах хорошо, потому что это приводит к значимым значениям общего риска.
4. Риск
   Начиная с Риск = Вероятность х Воздействие , умножьте два предыдущих столбца вместе. Если использовалась качественная шкала, такая как низкая / средняя / высокая, просто используйте ту же качественную шкалу, чтобы описать общий уровень риска в свете вероятности и воздействия события.
5. Приоритет
   Хороший план управления рисками определит наиболее важные риски для проекта.В этом столбце риски будут расставлены по приоритетам, начиная с 1, и будут последовательно перемещаться вниз, пока все они не будут расставлены по приоритетам. Кстати, спонсорам проекта, клиентам и владельцам это нравится.
6. Планы реагирования
   Чтобы заполнить реестр рисков, необходимо создать план реагирования для трех основных (приблизительно) рисков для проекта. В качестве альтернативы они могут быть включены за пределы таблицы, но часто краткий обзор может усилить регистр риска. Что-то вроде: «Учет команды проекта, вызов группы по разливу и заполнение формы происшествия.Сделайте так, чтобы вам не приходилось думать о первоначальном ответе.

Удачи в вашем плане управления рисками, и дайте мне знать, какие лакомые кусочки вы обнаружили на этом пути.

,

Понимание компонентов ИТ-рисков и управления корпоративными рисками

Управление ИТ-рисками (RM) и оценка рисков (RA) являются наиболее важными частями управления информационной безопасностью (ISM). Важным шагом в цикле управления рисками является идентификация риска, которая должна быть выполнена комплексно и итеративно. Таким образом, эта глава призвана синтезировать факторы риска, связанные с ИТ, и классифицировать или классифицировать их по нескольким основным основным темам, которые помогут руководству ИТ в их действиях по управлению рисками.

2.2.1 Определения рисков ИТ

Различные области, такие как ИТ, инженерия, банковское дело, страхование, экономика, менеджмент, медицина и исследования операций, изучали управление рисками и рисками в своих областях. Тем не менее, каждая область обращается к риску способом, соответствующим его объекту анализа, и, следовательно, принимает определенный объектив зрения. Поэтому авторы представят здесь некоторые определения рисков, используемые в различных областях, и свяжут их с рисками ИТ, использованными в этом исследовании.

• Как правило, риск возникает в ситуации, когда решения принимаются с учетом вероятности события риска, которое показывает, что лицо, принимающее решение, имеет больше информации, чем если бы он этого не делал (Frame, 2003).

• Кроме того, риск, мера вероятности и серьезности неблагоприятных последствий, является количественной единицей, и для того, чтобы управлять ею, мы должны иметь возможность количественно оценить его. Однако количественная оценка эффективности оценки и управления рисками для программного обеспечения и обеспечения информации в четко определенной метрике (которую могут применять, дублировать и сравнивать другие) оказалась трудной.Мы добились большого прогресса в количественной оценке всех видов рисков, но не в количественной оценке истинной ценности риска для целостности информации или защиты инфраструктуры (Longstaff и др. , 2000). Другими словами, риск также считается отрицательным результатом или событием, которое имеет известную или предполагаемую вероятность возникновения, основанную на опыте или некоторой теории (см., Например, Charette, 1991; Willcocks and Margetts, 1994).

• Например, медицина часто фокусируется исключительно на вероятности возникновения заболевания (например,г., сердечный приступ), так как отрицательным последствием является смерть во многих случаях. Было бы бесполезно концентрироваться на самом следствии, так как оно необратимо. Вероятность возникновения является ключевым элементом. Данные используются для определения того, какие факторы могут влиять на эти вероятности (наследственность, привычки курения, уровень холестерина и другие). В своем определении дозорных событий (происшествий, связанных со смертью или серьезными травмами), Объединенная комиссия по аккредитации организаций здравоохранения использует «риск» как «вероятность серьезного неблагоприятного исхода» (Kobs, 1998, как цитируется Longstaff et al., 2000). Страхование жизни принимает этот подход и использует таблицы смертности для оценки вероятностей. В этом контексте «хорошим риском» будет лицо с низкой вероятностью смерти в течение определенного периода времени (и, следовательно, для страховой компании с низкой вероятностью выплаты компенсации), и «плохой риск» будет человек с высокой вероятностью смерти в течение периода.

• Левин и Шнайдер (1997, на что ссылаются Aubert и др. , 2005) определяют риски как «… события, которые, если они происходят, представляют собой материальную угрозу для состояния предприятия» (с.38). Используя это определение, риски представляют собой множество нежелательных событий, которые могут произойти. Применительно к управленческому контексту «субъектом» будет организация. С этой точки зрения, риски могут управляться с использованием страхования, таким образом, компенсируя предприятие в случае возникновения события. Они также могут управляться с помощью планирования на случай непредвиденных обстоятельств, обеспечивая тем самым путь, по которому следует следовать в случае нежелательного события. Это определение риска аналогично понятию риска как возможного снижения полезности, обсуждаемого (Arrow 1983).

• С другой стороны, финансовая сфера принимает иную перспективу риска. Они рассматривают риск как приравненный к дисперсии распределения результатов. Степень изменчивости результатов (положительных или отрицательных) является мерой риска (Aubert и др. , 2005). Риск определяется здесь как волатильность стоимости портфеля (Levine, 2000). Управление рисками означает арбитраж между риском и доходностью. Для данной нормы доходности менеджеры предпочтут более низкую волатильность, но, скорее всего, допустят более высокую волатильность, если ожидаемая доходность будет считаться более высокой.Таким образом, управляющие портфелем стремятся создать портфель, который находится на эффективной границе, то есть имеет самый высокий ожидаемый доход для данного уровня риска и самый низкий уровень риска для данного ожидаемого дохода (Schirripa and Tecotzky, 2000).

• В других областях, таких как страхование от несчастных случаев, в качестве ожидаемого убытка используется риск. Они определяют риск как произведение двух функций: функции потерь и функции вероятности (Aubert и др. , 2005). Страхование автомобиля является хорошим примером.В случае аварии, есть функция потери, которая представляет степень ущерба автомобилю, который может варьироваться от очень небольшого ущерба до полной потери автомобиля. Существует также функция вероятности, которая представляет вероятность возникновения инцидента. Ожидаемая потеря (риск) является продуктом этих двух функций (Bowers и др. , 1986).

• Другим важным различием в анализе рисков является понятие эндогенного и экзогенного риска. Экзогенные (или внешние) риски — это риски, которые мы не контролируем и на которые не влияют наши действия.Землетрясения или ураганы являются хорошими примерами внешних рисков. Хотя мы можем контролировать степень ущерба, выбирая строительные нормы, мы не контролируем возникновение таких природных явлений. Эндогенные (внутренние) риски, с другой стороны, являются рисками, которые зависят от наших действий. Автомобильная авария является примером риска, когда значительная часть является эндогенной. Хотя водитель не контролирует других водителей (экзогенная часть), вероятность аварии сильно зависит от поведения и способностей водителя (эндогенных).Водитель также контролирует часть функции потери, решая управлять дорогой машиной или дешевой машиной. Это может объяснить, почему при страховании автомобиля всегда существует вычитаемая сумма, гарантирующая, что водитель будет вести себя так, чтобы минимизировать эндогенную часть риска. Будучи привлеченным к ответственности за часть ущерба, водитель соблазнен действовать с осторожностью (Aubert и др. , 2005).

В исследованиях IT / IS риск был тщательно исследован в областях разработки программного обеспечения (см., Например, Boehm 1991; Charette, 1991; Griffiths and Newman, 1996; Lyytinen et al., 1998; Ropponen, 1999) и управление проектами (в качестве примеров см. Только Keil, 1995; Morris, 1996; Willcocks and Griffiths, 1996).

Бахли и Ривард (2003) предлагают основанную на сценариях концептуализацию риска ИТ-аутсорсинга (ITO), в которой риск определяется как четверка, включающая сценарий, вероятность этого сценария, его последствия и механизмы снижения риска, которые могут ослаблять или помочь избежать возникновения сценария. Это определение опирается и расширяет рамки оценки рисков, которые широко используются в разработке.Предложенная концептуализация риска затем применяется к конкретному контексту ITO, используя в качестве отправной точки предыдущие исследования ITO, а также операционных издержек и теории агентства. Теория агентства и теория трансакционных издержек предлагают четыре основных сценария риска, которые могут быть связаны с аутсорсингом: (1) блокировка, (2) договорные изменения, (3) непредвиденные расходы на переход и управление и (4) споры и судебные разбирательства. Теория представления на основе ресурсов выявляет риски для компетенций и возможностей заинтересованных сторон, в то время как теория социального обмена опирается на обмен отношениями между получателем и поставщиком услуг в ходе договоренностей по проекту ITO (Arshad, 2011).

ИТ-риски воспринимаются как кульминация потенциальных возможностей любых нежелательных событий, которые могут привести к потерям, угрозам конфиденциальности и безопасности данных и информации, а также жизни организаций и отдельных лиц. Raftery (1994) предполагает, что риск может быть измеримым, и предлагает, чтобы риск был фактическим результатом деятельности, отклоняющейся от ее оценки или прогнозного значения. Следовательно, риск может быть выражен как подверженность экономическим потерям и прибыли. Как можно видеть, различия между событиями риска и неопределенности заключаются в (не) способности знать их вероятность и количественно определять их атрибуты.

Другими словами, IS долгое время подвергался некоторому риску из-за злонамеренных действий или непреднамеренных ошибок пользователя, а также из-за природных и техногенных катастроф. В последние годы системы стали более восприимчивыми к этим угрозам, потому что компьютеры стали более взаимосвязанными и, таким образом, более взаимозависимыми и доступными для большего числа людей. Кроме того, растет число людей, обладающих компьютерными навыками, и методы вторжения или «взлома» становятся все более широко известными через Интернет и другие средства массовой информации (GAO, 1999).

Рассмотрим сценарий выбора технологии. В исследовании (Cochran 2006) предполагается, что, когда потребители сталкиваются с технологическими решениями, необходимо учитывать эти технологические атрибуты (взаимозависимость, функциональная совместимость и взаимосвязанность). Поскольку количество и типы информационных технологий продолжают расти с каждым годом, выбор «правильного» продукта становится все труднее. Так, например, для ученых, пытающихся понять факторы, мотивирующие конкретные решения о выборе технологий, это становится важной, но сложной задачей.

Cochran (2006) утверждает, что существует три области оценки высокого уровня при принятии технологических решений: «автономная» оценка продукта, оценка технической совместимости и оценка живучести технологии. Это показано на рисунке 1. Это потому, что практики, принимающие решения о выборе технологий, не могут позволить себе принимать решения о выборе на основе одного продукта. Они должны заботиться о том, будет ли продукт совместим или нарушит существующие технологии, уже существующие в организации.Например, «лучшая» технология в соответствии с ее функциями и возможностями может быть чрезвычайно дорогой для реализации, если у нее есть несовместимости. Лица, принимающие решения, должны также беспокоиться о выживаемости технологии на рынке, чтобы избежать «гибели» без поддержки. Внедренная технология может потерять большую часть своей стоимости, если продавец сворачивается или приобретается другой компанией. Кроме того, эти технологические решения сопряжены с издержками переключения, которые необходимо учитывать.Модель, однако, не фокусируется на критериях риска ИТ или теориях риска.

Рис. 1.

Ось оценки технологии

Кроме того, (Cochran 2006) различает техническую и социальную совместимость. Техническая совместимость относится к возможности совместной работы нескольких продуктов. Например, «будет ли этот программный пакет работать на наших компьютерных системах?» Под социальной совместимостью понимается «степень, в которой инновация воспринимается как соответствующая существующим ценностям, прошлому опыту и потребностям потенциальных усыновителей.Например, «изменит ли это программное обеспечение способ, которым организация заказывает поставки?» или «будет ли это программное обеспечение совместимо с существующими знаниями конечного пользователя?»

На основе открытых интервью шести главных информационных сотрудников (ИТ-директоров), руководителей проектов и аналогичных должностей информаторы уже указали на сложности, связанные с этими решениями, а также на области, которые наиболее трудно оценить. В частности, они подчеркнули сложность оценки полного воздействия проблемы совместимости, а также сложность прогнозирования будущего технологий.Кроме того, они обсудили последствия, которые предыдущие инфраструктурные решения могут оказать на текущие и будущие решения.

Таким образом, без глубокого понимания факторов, которые необходимо учитывать, результаты решений о выборе более неопределенны. Как только факторы будут поняты, могут быть разработаны стратегии для лучшей оценки и снижения риска. В следующем разделе описывается приложение для управления рисками в процессе принятия решений в области ИТ.

2.2.2 Принятие решений в области управления ИТ-рисками

Принятие решений происходит в среде, которая состоит из трех компонентов — уверенности, неопределенности и риска (Flanagan and Norman, 1993). Хотя определенность можно рассматривать как ситуацию, в которой все факторы, вызывающие возможное событие, могут быть точно определены и известны лицу, принимающему решение, неопределенность влечет за собой противоположное, что делает неопределенную ситуацию невозможной для описания с точки зрения ее вероятности возникновения ,

Инструменты управления рисками учитывают, является ли риск эндогенным или экзогенным.В финансах, например, риск считается экзогенным. Методы управления рисками связаны с диверсификацией, страхованием и распределением активов. Не существует прямых действий, которые менеджеры могут предпринять, чтобы уменьшить вероятность того или иного события. В технике или медицине часть риска всегда эндогенная. Управление рисками принимает это во внимание. Пациенты информируются о той части, которую они контролируют, и им предлагается более здоровое питание и образ жизни; сотрудникам предоставляются руководящие указания по безопасности, и принимаются меры для непосредственного снижения вероятности нежелательных последствий.В области ИТ, как правило, управление рисками включает анализ или идентификацию рисков, планирование, внедрение, контроль и мониторинг выполненных измерений. Оценка риска, как часть управления рисками, состоит из нескольких процессов: (1) идентификация риска; (2) анализ соответствующего риска; и (3) оценка риска. Кроме того, (Rosman 2008) утверждает, что четыре важных аспекта процессов управления рисками включают в себя: (1) понимание риска и управления рисками; (2) идентификация риска; (3) анализ и оценка рисков; и (4) мониторинг рисков.

Управление рисками распознает риск, осуществляет доступ к риску и принимает меры по снижению риска, а также меры по поддержанию риска на приемлемом уровне. Однако главная цель оценки риска — принять решение о том, является ли система приемлемой и какие меры обеспечат ее приемлемость. Для каждой организации, использующей ИТ в своих бизнес-процессах, важно проводить оценку рисков. Представлены многочисленные угрозы и уязвимости, и их идентификация, анализ и оценка позволяют оценить воздействие риска и предложить подходящие меры и средства контроля для его снижения на приемлемом уровне (Николич и Ружич-Димитриевич, 2009 г.).

В процессе идентификации риска его источники различаются по определенному событию или инциденту. В этом процессе важную роль играют знания об организации, как внутренней, так и внешней. Кроме того, прошлый опыт этой или аналогичной организации по вопросам риска также очень полезен. Существует множество методов определения рисков, таких как контрольные списки, опытные суждения, блок-схемы, мозговые штурмы, исследования опасности и работоспособности, анализ сценариев и другие (Николич и Ружич-Димитриевич, 2009).Чтобы оценить уровень рисков, можно оценить вероятность и влияние случайных происшествий. Эта оценка может основываться на опыте, стандартах, экспериментах, консультациях экспертов и других. Поскольку каждое событие имеет различные и, возможно, множественные последствия, уровень риска рассчитывается как сочетание вероятности и воздействия. Анализ или оценка риска может представлять собой сочетание количественных, полуколичественных или качественных подходов (Macdonald, 2004).

Существует множество методов, применяемых при оценке рисков.В разных странах существуют разные методы. Даже в одной и той же области существуют различные методы, и применение каждого из них зависит от конкретного случая. Тем не менее, методология схожа: характеристика и описание системы, идентификация угроз и уязвимостей, оценка рисков, рекомендуемые меры и другие. Различия в методах обусловлены уровнем развития методологии предметов. Все методы должны содержать общие описания угроз, уязвимостей, групп активов и, наконец, классификацию рисков.Таким образом, их можно сравнивать, и для достижения наилучших результатов полезно применять комбинацию и оптимизацию методов. Стандарты ИСО для безопасности ИТ (13335, 17799 и 27001) являются общими руководящими принципами для реализации процесса управления безопасностью ИТ, но нет никаких решений о том, как конкретно его проводить (Николич и Ружич-Димитриевич, 2009). Кроме того, Sarbanes Oxley (SOX) также требует от организаций оценки их соответствия ИТ для целей отчетности. COSO и COBIT в настоящее время широко используются в организациях в качестве руководства по оценке контроля ИТ.Solms (2005) предполагают, что платформы COBIT (2000) и ISO 17799 (ISO / IEC 17799, 2000) дополняют друг друга и, следовательно, на самом деле являются очень хорошим выбором в качестве эталонных структур для управления информационной безопасностью. При совместном использовании они обеспечивают синергию, которая может быть очень полезной для организаций.

Таким образом, внедрение надлежащего подхода или техники управления рисками для управления рисками необходимо в современных организациях. Процесс управления рисками обычно делится на выявление рисков, анализ рисков, планирование реагирования на риски и мониторинг и контроль рисков (Hillson, 2002).Эти шаги иногда повторяются и не всегда выполняются последовательно. Как правило, эти шаги необходимо выражать в терминах действий и методов, применяемых в организациях. Как только эти виды деятельности определены, становится возможным оценить внедренные методы управления рисками.

Эффективное управление риском заключается в понимании вероятности возникновения риска и, если оно имеет место, насколько серьезным может быть неблагоприятное воздействие риска. Таким образом, риск может быть снижен, принят, предотвращен или перенесен между этими двумя доменами.В контексте строительства риски могут влиять, помимо прочего, на стоимость, качество, безопасность, окружающую среду и время.

Внешний или глобальный риск — это риск, который выходит за пределы контроля организации, поскольку он возникает за пределами сферы деятельности организации (Frame, 2003). Хотя внешние риски возникают из источников, которые отличаются от внутренних рисков, для управления ими могут применяться одни и те же принципы управления рисками. Решение руководства относительно рисков будет зависеть от серьезности и вероятности каждого конкретного случая риска.В этом контексте некоторые риски могут быть чрезвычайно серьезными, если они происходят, но вероятность их возникновения может быть очень отдаленной. Следовательно, риски могут быть смягчены, приняты, предотвращены или переданы в зависимости от обстоятельств. В некоторых случаях могут применяться все аспекты системы управления рисками; в то время как в других случаях будет достаточно только отдельных принципов управления рисками в рамках. По этой причине невозможно составить таблицу ответов на управление рисками, потому что спектр рисков, встречающихся в реальной жизни, слишком разнообразен и широк, чтобы сделать любую таблицу значимой и краткой.Поэтому решения по управлению рисками должны определяться на основе фактов и обстоятельств каждого конкретного случая.

В Руководстве по анализу и управлению рисками проекта (PRAM), составленном членами Специальной группы по управлению рисками (APM, 2007), говорится, что внедрение системы управления рисками помогает формулировать более реалистичные планы с точки зрения затрат и времени. По оценкам. Также возможно более глубокое понимание рисков, которые могут возникнуть, и их возможного воздействия, которое может привести к минимизации таких рисков и / или распределению этих рисков для стороны, которая лучше всего справляется с ними.Кроме того, облегчается независимое представление о рисках, которые могут помочь обосновать решения и обеспечить более эффективное и действенное управление рисками. Наконец, вклад в накопление статистических данных о исторических рисках, которые будут способствовать таким будущим операциям и содействию более высокому, но более рациональному риску и, следовательно, увеличению выгод, которые можно получить от этого. Садгроув (1996) добавляет, что управление рисками помогает компании избегать дополнительных затрат и сбоев в их работе и выявлять риски, которые стоит преследовать, и те, которые следует избегать.Внешнее управление рисками особенно важно также потому, что деятельность фирмы в настоящее время находится в динамичной среде, подверженной влиянию макроэкономических, политических и социальных факторов.

В настоящее время в любых организациях управление ИТ-рисками осуществляется на разной стадии критичности. В средних и крупных организациях управление корпоративными рисками обычно практикуется с целью смягчения организационных рисков, связанных с ИТ-рисками. Это дополнительно объясняется в следующем разделе.

Понимание основных компонентов управления кибер-рисками

Являетесь ли вы банком, который обрабатывает конфиденциальную финансовую информацию, или медицинским провайдером, который обрабатывает конфиденциальные данные о состоянии здоровья пациентов, существует вероятность того, что вы сталкиваетесь с угрозами кибербезопасности в той или иной форме, форме или форме. Будь то хакеры, вредоносные программы или вирусы, предназначенные для кражи ценных данных, обязательно, чтобы каждый бизнес знал, с какими рисками они сталкиваются, и работал в рамках системы для защиты от них.

К счастью, существуют системы, инструменты и решения для кибербезопасности, которые могут помочь любой организации, обеспокоенной своей безопасностью, лучше оценивать риски, связанные с их бизнесом, и управлять ими.Это именно то, для чего предназначен любой план управления киберрисками. Управление рисками кибербезопасности охватывает широкий спектр систем, персонала и бизнес-практик с целью защиты экосистемы вашего бизнеса от пробелов, многие из которых создаются поставщиками, с которыми вы делитесь данными.

Но что такое управление киберрисками? И что вам нужно знать, чтобы начать реализацию программы управления киберрисками? Вот несколько основных компонентов, о которых вам необходимо знать перед началом работы, в том числе выявление, анализ и отслеживание угроз кибербезопасности, прежде чем они смогут нанести какой-либо ущерб.

1. Защита данных

Одним из краеугольных камней любой эффективной стратегии управления рисками безопасности является анализ типов данных, с которыми вы обычно работаете, и разработка способов их защиты. Организации должны определить свои наиболее ценные информационные активы, где эти активы находятся в любой момент времени и кто имеет к ним доступ. Когда дело доходит до защиты данных и управления рисками кибербезопасности, вот несколько ключевых областей, которые вы должны рассмотреть:

• Исполнительное партнерство. Крайне важно, чтобы ваши усилия по защите данных осуществлялись при поддержке старшего руководства.Возникновение проблем информационного риска в органах, принимающих решения в вашей организации, является растущей тенденцией, и большинство компаний выиграют от этого. Старшие заинтересованные стороны хотят иметь достаточное представление об информационных рисках для целей надзора, соблюдения требований и общей безопасности.
• Рамки управления — К счастью, многие торговые организации и правительства опубликовали рамки, которые могут направлять ваши усилия по защите данных. Например, Национальный институт стандартов и технологий (NIST) имеет систему кибербезопасности, которая может широко применяться в организациях по всему миру, которые обрабатывают различные типы конфиденциальных данных.Хотя от вашей компании может (или может не требоваться) быть в прямом соответствии с каждой структурой управления, они могут быть чрезвычайно полезны в предоставлении тактических советов о том, как защитить ваши важные данные.
• Разработка политики и обучение. Не все угрозы являются внешними, поскольку данные часто могут быть скомпрометированы непреднамеренным неправильным обращением в вашей организации. В редких случаях в вашем бизнесе может оказаться злоумышленник, который стремится получить прибыль от получения доступа к конфиденциальной информации.Вот почему разработка конкретной политики обработки данных необходима для всего персонала, ролей и отделов. Кроме того, персонал должен постоянно обучаться и обучаться по мере появления новых технологий и угроз. Цель состоит в том, чтобы обеспечить полное организационное согласование и гарантировать, что ваши политики и процедуры изменяются, когда и где это необходимо.

2. Мониторинг угроз

Недостаточно просто знать, с какими рисками кибербезопасности может столкнуться ваш бизнес.Вам необходимо иметь технологии и процедуры для постоянного мониторинга критических систем и данных на предмет этих угроз. Эффективный мониторинг кибер-рисков фокусируется на сборе и анализе данных из нескольких входов, систем и команд для поиска шаблонов, которые могут указывать на кибератаку или злоумышленника. Ваш план мониторинга угроз должен включать способы координации действий различных групп, а также способы расследования (и потенциального снижения) потенциальной киберугрозы в режиме реального времени. Вот несколько ключевых понятий, связанных с мониторингом угроз, о которых вам следует помнить:

• Непрерывное отслеживание — важно, чтобы у вас были системы для мониторинга и отслеживания уязвимостей, а также потенциальных угроз.Вы хотите, чтобы ваш внутренний персонал и персонал работали с вашим партнером по управлению кибер-рисками, чтобы убедиться, что все системы отслеживаются, а действия регистрируются, чтобы можно было предотвратить или быстро устранить нарушения данных в случае их возникновения.
• Анализ почти без промаха — Анализируя «близкие вызовы» в дополнение к фактическим инцидентам безопасности, организации могут лучше понимать уязвимости в своих системах в дополнение к соответствующим угрозам.Проведение анализа «практически без промаха» означает отслеживание и анализ неуспешных утечек данных или случаев, когда ваши системы оставались уязвимыми. Таким образом, компании могут часто выявлять коренные причины инцидентов безопасности (когда они происходят) и вносить коррективы.
• Основные показатели — будь то внедрение новой системы, подключение поставщика или текучесть кадров, многие ключевые виды деятельности могут увеличить риск и уязвимость в течение определенного периода времени.Вы захотите поработать со своим партнером, чтобы найти опережающие индикаторы, специфичные для вашего бизнеса, которые могут увеличить риск. Систематическое понимание бизнес-характеристик и действий, которые приводят к риску, имеет важное значение для активной идентификации угроз. Например, слияния и поглощения часто являются основным индикатором повышенного риска. У отделов, которые переводятся из одной компании в другую, может не быть той же практики кибербезопасности, поэтому важно, чтобы вы учитывали эти ведущие показатели и заполняли любые пробелы в безопасности по мере их возникновения.

3. Создание Cyber ​​Perimeter

В современном мире ваш кибер-периметр выходит далеко за пределы данных, хранящихся на месте в ваших офисах. С появлением облачных технологий и сторонних поставщиков ваш периметр кибербезопасности теперь распространяется на любое место, где хранятся, передаются или доступны данные. Это могут быть как внутренние сотрудники, так и доверенные партнеры. Организациям необходимо убедиться, что они видят этот расширенный периметр, потому что, как говорится, «цепочка настолько же сильна, насколько ее самое слабое звено.Вот некоторые из основополагающих строительных блоков для создания защищенного кибер-периметра в качестве ключевого средства управления рисками:

• Базовый кибер-периметр — Учитывая неструктурированный и разнородный характер информации и данных во многих организациях, необходимо обеспечить защиту данных как часть любой стратегии управления киберрисками. Это особенно верно в связи с постоянно растущим присутствием подрядчиков, клиентов и поставщиков, которым требуется постоянный доступ к конфиденциальной информации.Прямые меры принимают как цифровую, так и физическую форму, и вам будет полезно поработать с партнером по управлению рисками, чтобы убедиться, что такие вещи, как брандмауэры, хранилище мультимедиа и доступ пользователей, полностью соответствуют потребностям.
• Доступ пользователей — в зависимости от своих ролей, функций и отделов различным сотрудникам вашей организации потребуется доступ к различным уровням конфиденциальной информации. Важно, чтобы вы четко определили эти роли доступа и убедитесь, что неавторизованные пользователи не могут нарушить ваш периметр (умышленно или нет).Основные шаги, которые вы должны предпринять в этой области, включают такие вещи, как уникальные логины пользователей, автоматические тайм-ауты сеансов и многофакторная аутентификация для удаленных рабочих сеансов.
• Рассмотрим облако — как уже упоминалось, ваш периметр безопасности теперь распространяется на облачные вычисления. Облако дает множество преимуществ с точки зрения эффективности обмена данными и доступа к ним, но организации не следует впадать в ложное чувство безопасности, просто применяя те же методы, которые они используют для защиты локальных данных.Вместе со своим партнером по кибербезопасности создайте целостную стратегию кибер-периметра, которая объединяет традиционные средства защиты, такие как брандмауэры и антивирусные сканирования, с любыми дополнительными практиками, которые необходимы для защиты ваших данных в облаке.

4. Сбор разведывательных данных

Многие усилия организации по сбору угроз и разведке разбросаны по различным функциям, физическим местам и системам. Это создает несколько разрозненную методологию, поскольку она связана со сбором и анализом разведданных, которые могут указывать на потенциальную угрозу.Это один из распространенных барьеров для надежного управления кибер-рисками, но организациям все еще необходимо создать возможности сбора информации об угрозах. Сбор разведывательных данных должен быть основан на общем интеллекте, данных и исследованиях из внутренних и внешних источников:

• Поиск угроз — По мере того как совершенствуется технология кибербезопасности, системы теперь могут активно «охотиться» за угрозами на основе данных из различных источников. Это могут быть ваши собственные внутренние системы, системы партнеров или поставщиков или различные внешние источники данных.Ваш партнер по управлению рисками поможет вам разработать эффективную программу поиска угроз, а также сформулировать процессы, которые позволят собрать как можно больше информации о киберугрозах. Поиск угроз и разведка являются двумя наиболее важными аспектами управления кибер-рисками, поскольку они позволяют занимать активную позицию в отношении злоумышленников, а не реагировать исключительно на инциденты по мере их возникновения.
• Стратегическая разведка. Далее вам необходимо получить стратегическое представление о том, как ваши усилия по сбору информации будут играть ключевую роль в управлении киберрисками.Стратегическая разведка оценивает разрозненные фрагменты информации, которая информирует лиц, принимающих решения организации, по широким или долгосрочным вопросам и обеспечивает своевременное предупреждение об угрозах. Стратегическая разведка киберугроз формирует общую картину намерений и возможностей злонамеренных киберугроз, включая участников и инструменты, путем выявления тенденций, моделей и возникающих угроз, которые могут быть выявлены во внутренних, внешних или партнерских системах.
• Оперативный интеллект — недостаточно просто собирать данные и сведения о потенциальных угрозах.Вам нужно будет найти способы для реализации ваших выводов, которые помогут в расследовании и оценке потенциальных угроз по мере их возникновения. Оперативная разведка предназначена для предоставления специализированной, технически сфокусированной разведки, которая будет направлять поддержку, реагирование и устранение конкретных инцидентов. Этот тип интеллекта часто получается из таких вещей, как криминалистические отчеты после инцидента, где вы сможете разбить цепочку атак и определить операционные области, которые могут быть улучшены в будущем.

5. Отчетность и соответствие

Последний базовый компонент управления киберрисками включает аспекты отчетности и соответствия. В зависимости от типа отрасли, в которой вы работаете, вы, вероятно, будете подчиняться некоторому набору нормативных требований, предназначенных для защиты конфиденциальной информации. Для этого требуется сильная государственная команда, обладающая надлежащими знаниями, опытом и влиянием в организации для обеспечения надлежащей отчетности и соответствия.Вы должны убедиться, что любые системы мониторинга работают и способны генерировать подробные отчеты в случае аудита соответствия после нарушения.

• Криминалистическая отчетность — в случае нарушения вам необходимо убедиться, что и ваша организация, и внешние аудиторы могут просматривать подробные отчеты о деятельности, чтобы получить более полное представление о кибер-цепочке уничтожения. Это не только поможет вам определить, как на самом деле произошла атака, но и поможет аудиторам легче отслеживать журналы активности в вашей системе.Убедитесь, что ваши критически важные системы кибербезопасности постоянно генерируют правильные журналы и отчеты, чтобы вы могли лучше защититься от подобных рисков в будущем.
• Внутренние аудиты. Те, кто успешно управляет рисками кибербезопасности, не просто ждут инцидента (или государственного аудита), чтобы увидеть, какие у них могут быть недостатки или уязвимости. Вместо этого (и в этом случае партнер может оказать помощь), периодически проводите внутренние аудиты ваших систем, политик и практик, чтобы убедиться, что они соответствуют любой структуре соответствия, которой вы подчиняетесь.Такие вещи, как тестирование на проникновение в сеть, могут быть проведены одной из многих опытных компаний по управлению кибер-рисками, чтобы вы были впереди игры.
• План реагирования . Когда дело доходит до соблюдения требований и управления рисками, это не всегда сводит на нет плохих парней. Если инцидент действительно имеет место, вам необходимо иметь план реагирования, который соответствует и соответствует FISMA, NIST или любой другой нормативной базе, применимой к вашей организации. Каждый сотрудник должен точно знать, что делать в случае нарушения, и ваш план реагирования должен быть подробно задокументирован, чтобы любой аудитор мог четко видеть, что вы предприняли все необходимые действия в отношении реагирования на инцидент.

Заключительные мысли

Управление киберрисками охватывает широкий спектр областей и тем и отличается от бизнеса к бизнесу и от отрасли к отрасли. Но к настоящему времени вы должны иметь четкое представление об основных компонентах, участвующих в создании программы управления киберрисками в вашей организации. Защита всех источников данных, установление кибер-периметра и мониторинг угроз — все это основополагающие принципы управления кибер-рисками.

Наконец, не забывайте привлекать партнера для определения вашего подхода к управлению киберрисками и помогать вам в таких областях, как сбор информации и соблюдение нормативных требований. Будь то изменение вашего бизнеса или достижения в технологиях взлома, ваш профиль риска со временем обязательно изменится. Работайте со своими внутренними сотрудниками, внешними поставщиками и партнерами по кибербезопасности, чтобы убедиться, что вы идете в ногу со временем и устраняете любые пробелы по мере необходимости.

,