В результате совместной работы нескольких организаций Великобритании, занимающихся вопросами риск-менеджмента (управления рисками) — Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC), Национального форума риск-менеджмента в общественном секторе — были разработаны Стандарты управления рисками (Risk Management Standard).
Стандарты рассматривают риск с позиций как положительного, так и негативного аспекта.
Риск — это комбинация вероятности события и его последствий, которые могут представлять собой как потенциальные возможности, так и опасности для организации.
В сфере безопасности последствия наступления события рассматриваются с негативной точки зрения. Управление рисками уделяет основное внимание превентивным мероприятиям или мероприятиям, смягчающим размеры последствий.
Задача риск-менеджмента — идентификация рисков и управление рисками, основная цель — вклад в процесс максимизации стоимости организации. Это означает распознавание всех потенциальных негативных и позитивных факторов, влияющих на организацию, увеличивает вероятность успеха и минимизирует вероятность отклонения и неизвестности в достижении поставленных организацией целей.
Риск-менеджмент как единая система управления рисками должен включать в себя программу контроля над выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации.
Риски, которым подвержена организация, могут возникать в силу как внутренних, так и внешних факторов (табл. 9.2).
Таблица 9.2.
Внешние и внутренние факторы риска
Риск-менеджмент защищает организацию и способствует ее капитализации посредством:
- системного подхода, позволяющего планировать и осуществлять долгосрочную деятельность организации;
- улучшения процесса принятия решений и стратегического планирования путем формирования понимания структуры бизнес-процессов, происходящих в окружающей среде изменений, потенциальных возможностей и угроз для организации;
- вклада в процесс наиболее эффективного использования размещения капитала и ресурсов организации;
- снижения степени неизвестности менее критических аспектов деятельности организации;
- защиты имущественных интересов организации и улучшения имиджа компании;
- повышения квалификации сотрудников и создания организационной базы знаний;
- оптимизации бизнес-процессов.
Анализ рисков включает:
- идентификацию;
- описание;
- измерение;
- выбор метода анализа рисков;
- формирование «карты рисков».
Идентификация рисков представляет собой процесс распознавания конкретных препятствий на пути к достижению целей организации, что требует полной информации об организации, рынке, законодательстве, социальном, культурном и политическом окружении организации, а также о стратегии ее развития и операционных процессах, включая информацию об угрозах и возможностях достижения поставленных целей. Чтобы распознать максимум рисков, которым подвержена организация во всех сферах деятельности, необходим методологический подход. Должны быть иденфицированы все возможные факторы изменений организации. Идентификация рисков организации, как правило, осуществляется независимыми консультантами. Однако понимание и анализ рисков внутри организации имеет огромное значение для успешного процесса управления рисками.
Описание рисков проводится для их дальнейшего анализа. С учетом последствий и вероятности каждого из рисков описание дает возможность расставить приоритеты и выделить те риски, подробное изучение которых требуется.
Таблица 9.3.Описание риска
Продолжение табл. 9.3
Риски бизнес-процессов могут быть идентифицированы как стратегические, проектные (тактические) и операционные.
Процесс управления рисками должен осуществляться как на стадии формирования концепции проекта, так и на всех стадиях его фактической реализации. Алгоритм описания риска представлен в табл. 9.3.
Измерение риска может быть количественным, качественным или смешанным в части вероятности наступления события и его возможных последствий. Например, для многих организаций достаточно использовать трехмерные матрицу оценки вероятности наступления события и его последствий (табл. 9.4, 9.5).
Таблица 9.4. Вероятность угрозы
Таблица 9.5. Вероятность возможности
Существует множество методов и технологий анализа рисков.
Описание рисков служит основой для формирования «карты рисков» организации, которая дает взвешенную оценку рискам и расставляет приоритетность в отношении мероприятий по снижению степени риска.
Формирование «карты риска» позволяет выявить зоны бизнеса, подверженные тем или иным рискам, а также описать действующие методы контроля над рисками и определить необходимость внесения изменения по уменьшению, усилению контроля или пересмотру действующих механизмов.
Формирование «карты рисков» позволяет определить зоны ответственности за риски и распределить человеческие ресурсы.
После того как завершен анализ рисков, необходимо провести их оценку — в соответствии с критериями, выработанными самой организацией. Такие критерии могут включать учетную политику, себестоимость продукции, регулятивные требования, социально-экономические вопросы, экологический аспект, ожидания акционеров и других заинтересованных лиц и т.д. Оценка риска необходима для принятия решения о значимости рисков для организации и их воздействия на нее и выбора мероприятий по управлению конкретным риском. Эти мероприятия включают в себя контроль риска, мероприятия по предупреждению риска, передачу и финансирование риска, компенсации риска, распределения риска, локализации риска, ухода от риска и др.
Любая система мероприятий должна быть направлена на:
- повышение надежности и эффективности работы организации;
- повышение эффективности системы внутреннего контроля;
- соответствие законодательству.
Мероприятия по управлению рисками обеспечивают надежность и эффективность деятельности организации посредством определения тех рисков, которые требуют внимания руководства и определения приоритетов рисков с точки зрения целей организации.
Эффективность системы внутреннего контроля определяется как степень снижения или предупреждения риска методами, предлагаемыми внутренним контролем, и оценивается сравнением расходов на мероприятия и ожидаемого положительного эффекта от снижения степени подверженности риску.
себя контроль риска, мероприятия по предупреждению риска, передачу и финансирование риска, компенсации риска, распределения риска, локализации риска, ухода от риска и др.