Рискуют все, везде и всегда.
Безопасность и управление рисками

В своей книге «Реинжиниринг корпорации» М. Хаммер и Д. Чампи пишут следующее: «В современной хозяйственной среде нет ничего постоянного или предсказуемого. Невозможно прогнозировать ни рост рынка, ни потребительский спрос, ни жизненный цикл продукта, ни степень технологических изменений, ни природу конкуренции». В силу подобной неопределенности риски есть у всех, везде и всегда. Вряд ли кто-то будет это оспаривать.

Одно из определений риска дается в руководстве ISO/IEC Guide 73: «Риск — это комбинация вероятности события и его последствий».

РИСКИ В ОРГАНИЗАЦИЯХ

Любую деятельность сопровождают события и последствия, которые могут нести как потенциальные «удачные» возможности, так и «опасности» для организации. То есть, последствия риска могут быть как положительными, так и отрицательными. Поэтому риск-менеджмент включает в себя понятия положительного и негативного аспектов риска.

Любые риски имеют внешние и внутренние факторы. Оценка и учет только каких-то одних факторов может вести к значительным нежелательным последствиям. На рис. 1 приведен пример ключевых внутренних и внешних факторов рисков из стандарта организации FERMA (Federation of European Risk Management Associations) и показаны риски, не учитываемые (в большинстве случаев) украинскими компаниями.

Риск-менеджмент должен быть неотъемлемой составной частью системы управления организацией вместе с другими системами менеджмента (людей, финансов, информации, качества, окружающей среды, труда и др.). Корпоративное управление без этого невозможно. Ведь главная цель рискменеджмента — минимизировать потери и увеличить выгоды. Риск-менеджмент должен быть встроен через создаваемую культуру организации в ее философию, практику, процессы, а не существовать особняком. Чем полнее будет такая интеграция, тем успешнее будет деятельность организации.

Опросы топ-менеджеров показывают, что риск-менеджмент выходит на одно из первых мест по важности. Необходимость оценки возрастающих рисков, связанных с политической нестабильностью, глобализацией, слияниями и поглощениями, конкуренцией и объемами информации, понимают многие компании. Учет рисков при разработке корпоративной стратегии позволяет быть более подготовленным к любым возможным ситуациям. Управляя рисками результативно и эффективно, организация достигает своих целей с меньшими издержками.

ОРГАНИЗАЦИЯ РИСК-МЕНЕДЖМЕНТА

Общая схема процесса риск-менеджмента из стандарта FERMA приведена на рис. 2. Подобный подход описывает и стандарт AS/NZS 4360:2004 «Risk management».

У компании (организации, предприятия) существует большое количество различных рисков. Некоторые из них показаны на рис. 3 вместе со стандартами, выполнение требований которых позволяет минимизировать негативное влияние рисков. Недооценка этих рисков может привести к серьезным угрозам по обеспечению бизнеса. Поэтому компания должна идентифицировать, описывать, измерять (вероятность и последствия) анализировать и ранжировать ключевые риски, которые влияют на достижение стратегических и оперативных целей, постоянно «мониторить» их, а также внедрить риск-менеджмент в процесс планирования бизнеса. Составление «карт рисков» помогает распределять зоны ответственности за риски в организации.

Система управления рисками компании позволяет предупреждать, оперативно реагировать и минимизировать угрозы интересам компании. Для этого в компании может быть создана постоянная комиссия по риск-менеджменту. Она отслеживает («мониторит») риски, координирует, изучает и измеряет их, проводит бенчмаркинг, докладывает о рисках высшему руководству.

Одновременно исполнительный менеджмент компании (руководители подразделений):

  • учреждает политику;
  • утверждает пределы и терпимость риска;
  • докладывает комиссии и высшему руководству компании.

Линейные менеджеры (ИТР на местах):

  • идентифицируют риск;
  • предлагают пределы риска;
  • контролируют риски;
  • докладывают исполнительному менеджменту и комиссии.

Эта серьезная работа не будет результативной и эффективной без участия топ-менеджмента, который утверждает политику, лимиты рисков, терпимость рисков и обеспечивает анализ.

Цель риск-менеджмента — обеспечение стратегической и оперативной устойчивости, а также развитие бизнеса компании за счет поддержки рисков в установленных пределах. Для этого необходимы: методики оценки рисков, карты рисков, лимиты по рискам, мониторинг и контроль показателей рисков, взаимодействие подразделений при управлении рисками.

В качестве внутренних регламентов рисков компании могут использоваться методики оценки и уменьшения различных категорий рисков:

  • проектов (инвестиционных и др.);
  • операционных рисков (качество, окружающая среда, охрана труда и здоровья, промышленная безопасность и др.);
  • информационных;
  • торговых (связаны с покупателями и поставщиками);
  • кредитных, валютных и др.

Ассоциация риск-менеджеров FERMA предлагает использовать следующие методы и технологии идентификации рисков:

  • метод «спонтанного» определения/выявления возможных рисков;
  • вопросники;
  • исследование бизнес-процессов с выявлением «внутренних» и «внешних» факторов и их влияния на организацию;
  • отраслевой анализ;
  • анализ развития различных сценариев;
  • рабочие группы по оценке рисков;
  • анализ инцидентов и аварий;
  • технический аудит и инспекции;
  • метод HAZOP (Hazard & Operability Studies).

Для оценки «положительных» рисков могут применяться маркетинговые исследования, перспективный анализ, тестирование, НИОКР, анализ бизнес-эффекта.

Для оценки «негативных» рисков могут применяться анализ угроз, дерево ошибок (FTA), FMEA-анализ (метод обследования типов отказов и анализа их последствий).

Есть также общие средства для любых рисков:

  • моделирование взаимозависимостей;
  • SWOT-анализ;
  • дерево событий;
  • поддержание непрерывности бизнес-процессов;
  • BPEST-анализ (Business, Political, Econo-mic, Social,Technological);
  • опциональное моделирование;
  • принятие решений в условиях риска и неизвестности;
  • статистический анализ;
  • построение тенденций и дисперсии;
  • PESTLE-анализ (Political Economic Social Technical Legal Environmental).

СТАНДАРТЫ В РИСК-МЕНЕДЖМЕНТЕ

Для оценки рисков рекомендуем использовать стандарты, регламенты, руководства. Прежде всего, это документы международных организация по стандартизации ISO, IEC (ISO/IEC):

  • ISO 17799 и 27001 (информационная безопасность);
  • ISO 17776 (нефтяная и газовая промышленность), 17666 (космические системы), 14971 (медицинское оборудование), 14121, 13335, 15408, 16085, 20993, 22367;
  • IEC 60300-3-9, 60812, 61025, 61508-2, 61822, 62198 и Руководство по принципам и внедрению риск-менеджмента (ISO/TMB/WG Risk Management);
  • ISO/IEC Guide 73;
  • ISO/IEC Guide 51.

Кроме того, есть большая группа международных, национальных и ведомственных стандартов из разных областей деятельности, в которых управлению рисками уделено значительное внимание:

  • AS/NZS 4360 (Австралия и Новая Зеландия);
  • FERMA;
  • MSF (программные разработки);
  • BS 8800 и OHSAS 18001 (профессиональная безопасность и охрана труда);
  • ISO 19011; серия ISO 9000; серия ISO 14000 (экология); серия ISO 22000; серия ISO/PAS 28000;
  • NIST SP 800-300 и другие стандарты NIST этой серии;
  • «Risk analysis based on IT Baseline Protection» (регламенты Германии);
  • cтандарты API — American Petroleum Institute (например, API 1164, API RP 70, API SVA – 2004);
  • cтандарты ISA — Общество приборостроения, системотехники и автоматизации (например, ISA 99.00.01, 02, 03, 04 — Manufacturing and Control Systems Security);
  • NERC 1200, NERC 1300 (North American Electric Reliability Council Cyber Security Standard);
  • ARP 9113 (Aerospace Recommended Practice);
  • COBiT (стандарты и документы Control Objectives for Information and related Technology);
  • BASEL II (стандарты и документы Базельского комитета по банковскому надзору);
  • MIL-STD-882D (Standard Practice for System Safety министерства обороны США);
  • Guidance for Industry: PAT. A Framework for Innovative Pharmaceutical Manufacturing and Quality Assurance (2003) (фармацевтика); HACCP (пищевая отрасль);
  • MORDA — Mission Oriented Risk and Design Analysis (US National Security Agency);
  • PRINCE 2 (PRojects IN Controlled Environments), PMBoK 2004 (Project Management Body of Knowledge), ISO 10006 — управление проектами;
  • RAMCAP (Risk Analysis and Management for Critical Asset Protection);
  • RAM (Risk Assessment Methodology – например, RAM-T, RAM-CF, RAM-E, RAM-W);
  • PD 6668 Managing Risk for Corporate Governance (BSI, British Standards Institution);
  • BS 25999-1:2006 Code of practice for business continuity management (взамен PAS 56:2003);
  • CSA Q 850 Risk Management Guidelines for Decision Makers (CSA);
  • JISQ 2001 Guidelines for development and imp-lementation of risk management system (JISC);
  • Probabilistic Risk Assessment Procedure Guide for NASA Managers;
  • ICH 09 Quality Risk Management;
  • стандарты EN 14738, 14459, 1441, 1050;
  • стандарты серии ONR 49000 (Австрия);
  • нормы МАГАТЕ;
  • стандарты Института внутренних аудиторов (www.theiia.org);
  • руководство по управлению рисками ВТО (Всемирная Таможенная Организация);
  • лучшая практика Европейского Сообщества в области оценки рисков;
  • Среда управления рисками организаций и Руководство по управлению рисками для малого бизнеса (COSO, Committee of Sponsoring Organizations of the Treadway Commission — финансовая отчетность публичных компаний);
  • «оранжевая книга» по управлению рисками (Казначейство Великобритании);
  • документы по оценке рисков и риск-менеджменту президентской и комиссии Конгресса США (два тома);
  • общепринятые принципы управления рисками (GARP) и другие.

В заключении отметим, что существующие в нашей жизни неопределенности практически всегда ведут к рискам. Новые категории рисков появляются регулярно, и необходим результативный и эффективный риск-менеджмент, который сокращает вероятность потенциальных ошибок и обеспечивает безопасность. Управление рисками позволяет быть в большей безопасности, минимизировать угрозы и извлекать выгоды из возможностей.

Риск-менеджмент должен быть одним из важных компонентов корпоративной стратегии отечественных компаний.

Валентин Васильевич ТихоненкоВалентин Васильевич Тихоненко
канд. техн. наук,
председатель правления Союза
специалистов-экспертов
по качеству, генеральный
директор ЭКТЦ «ВАТТ»

2007.02.21
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".