Установка целей и области применения риск-менеджмента
Первый этап процесса риск-менеджмента – установление его целей и области применения. Это определяет в дальнейшем основные параметры остальной части процесса управления рисками. При этом необходимо описать внешнюю и внутреннюю среду организации и установить цели ее деятельности в области менеджмента риска, а также провести анализ взаимных связей между внешней и внутренней средой организации. Таким образом, первый этап риск-менеджмента включает в себя следующие стадии.
1. Установка внешней области применения. Эта стадия определения внешних условий, в которых работает организация. При этом требуется провести:
- описание внешней среды, связанной с бизнесом, социальной сферой, законодательными и обязательными требованиями, культурой, конкуренцией, финансами и политикой;
- выявление сильных и слабых сторон, возможностей и угроз организации (SWOT-анализ);
- анализ ключевых деловых партнеров;
- определение прочих внешних причастных сторон (конкуренты, контролирующие органы и т.д.).
Особенно важно учесть мнения и значение для организации внешних причастных сторон (как прямых, так и косвенных) и разработать политику обмена информацией с этими сторонами.
2. Установка внутренней области применения. Перед началом деятельности в области риск-менеджмента необходимо изучить сведения об организации. Ключевыми областями анализа должны быть:
- структура организации;
- культура риска, сформировавшаяся на предприятии;
- внутренние причастные стороны;
- возможности организации с точки зрения ресурсов (персонал, системы, процессы, капитал);
- цели и задачи, а также стратегии, необходимые для их достижения.
3. Установка целей в области менеджмента риска. После проведенного внутреннего и внешнего анализа областей применения организация должна установить цели, задачи и параметры деятельности процесса менеджмента риска. При этом необходимо опираться на оценку потребностей организации, чтобы сбалансировать ее затраты, преимущества и возможности. Должны быть установлены необходимые ресурсы для всех этапов риск-менеджмента и определены методики формализации информации (организация записей, отчетов, компьютерные программы и т.д.).
По результатам первых трех этапов должно быть сформировано качественное описание области применения менеджмента риска, которое включает в себя:
- определение границ организации или проекта и установленные для них цели и задачи;
- определение решений, которые должны быть выполнены;
- определение ограничений для деятельности по времени и месту;
- выявление всех объектов, исследование которых необходимо, а также исследование их области применения, задач и требуемых ресурсов;
- определение глубины и широты действий по менеджменту риска, которые должны быть выполнены, включая любые установленные ограничения;
- распределение ответственности и полномочий подразделений организации, участвующих в процессе риск-менеджмента;
- взаимосвязь между проектом или организационной структурой и другими проектами или частями организации.
4. Разработка критериев риска. На этой стадии организация должна определять критерии, которые необходимо использовать для оценки значимости риска. Критерии должны отражать ценности, цели и ресурсы организации. Они могут быть:
- эксплуатационными,
- техническими,
- финансовыми,
- юридическими,
- законодательными,
- социальными,
- экологическими,
- гуманитарными,
и другими.
Критерии должны отражать установленные на первых трех стадиях цели и область применения риск-менеджмента. Определение критериев зависит от представлений о риске причастных сторон, а также от законодательных и прочих обязательных требований.
При определении критериев риска необходимо рассматривать следующие факторы:
- характер причин и последствий, которые могут возникать, и методы их измерения;
- как следует определять вероятность;
- временные рамки вероятности и последствий;
- как должен быть определен уровень риска;
- мнения заинтересованных сторон;
- уровень, на котором риск становится приемлемым или допустимым;
- принимать ли во внимание комбинации нескольких рисков, и если да, то каким образом и какие комбинации следует рассматривать.
В качестве меры финансового риска, отражающей оценочный подход, используется, например, произведение вероятности события и величины возможного дохода/убытка. Однако при анализе мнения, например, работников отдела техники безопасности или логистики, в критерии риска могут быть заложены дополнительные параметры или затраты.
Хотя общее описание критериев принятия решений первоначально разработано при установлении области применения менеджмента риска, они могут быть более детально разработаны и переработаны впоследствии, после идентификации конкретного риска и выбора метода анализа риска.
Тема 3. Общая оценка риска
Идентификация риска
Идентификация риска — это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.
Целью идентификации риска является составление перечня источников рисковых событий, которые могут повлиять на достижение целей организации. После идентификации риска организация должна выявить существенные особенности проекта, персонал, процессы, системы и средства управления.
Все используемые источники информации по отношению к организации делятся на внутренние и внешние. Внутри предприятия сведения, необходимые для идентификации рисков, можно получить в результате:
1) изучения документов;
2) инспекции (осмотра);
3) общения с сотрудниками.
К внешним источникам относятся:
1) страховые организации;
2) государственные органы, осуществляющие надзор в отдельных областях деятельности;
3) специализированные организации, занимающиеся оценкой рисков.
Всесторонняя идентификация рисковых событий как структурированный систематический процесс является критически важной, поскольку не выявленные на данном этапе точки уязвимости могут быть не исследованы при дальнейшем анализе. Идентификация должна охватывать все риски, как управляемые, так и неуправляемые организацией.
Процесс идентификации риска включает в себя два этапа: во-первых, выявление точек уязвимости (источников риска) с описанием возможных опасных событий и, во-вторых, определение причин и источников опасных событий (факторов), которые могут оказать существенное воздействие на достижение целей организации, и определение характера этих воздействий.