Организационный риск это: Внутренние риски в управлении организацией

Содержание

Внутренние риски в управлении организацией

Сущность внутренних рисков

Определение 1

Внутренние риски организации – риски, которые напрямую зависят от деятельности организации в лице ее руководства и сотрудников, принимающих участие в управлении рисковыми ситуациями.

В связи с тем, что внутренние риски зависят от деятельности компании, они более управляемы, чем внешние. Существование и характер внутренних рисков обусловлены спецификой каждой организации.

Замечание 1

Наиболее опасный и часто встречающийся вид внутреннего риска – кадровый. Возникновение этого вида риска объясняется невозможностью предсказать поведение сотрудников организации в тех или иных условиях.

Внутренние риски организации можно условно разделить на субъективные и объективные. В такой классификации к объективным рискам относятся те, которые связаны с различными функциональными направлениями деятельности компании. Субъективные внутренние риски представляю собой риски принятия различных управленческих решений на различных этапах деятельность компании и различных уровнях управления.

Виды внутренних рисков

  • Проектные риски – связанные с ошибками в конкретных проектах компании. Проектный риск часто заключается в позднем обнаружении ошибок. При этом увеличиваются сроки реализации проекта и затрачиваемые ресурсы организации, которые расходуются на исправление данных ошибок;
  • Технические риски – риски неправильного использования различных устройств и оборудования, а также разработки неверных технических решений. Отказы оборудования, связанные с его неправильным использованием, могут стать причиной возникновения ситуаций, угрожающих безопасности сотрудников и производимой продукции. В то же время устранение технических проблем требует затрат времени и ресурсов, а также приводит к простою оборудования;
  • Технологические риски – связанные с использованием непроверенных методик и технологий низкого качества, а также с несоблюдением принятых норм и правил. Применение в бизнесе некачественных методик производства или продажи продукции, а также технологий реализации каких-либо проектов, не проверенных временем или опытным путем, может создать угрозу благополучию и даже существованию компании;
  • Организационные риски – возникающие из-за ошибок в принятии управленческих решений, планировании, координации.
    К организационным относят также кадровые риски. Реализация рисковых ситуаций организационного характера может привести к возникновению множества различных проблем – от ухудшения взаимоотношений внутри коллектива компании и с партнерами до сложностей с выполнением тех или иных организационных функций;
  • Финансовые риски – связанные с планированием и исполнением бюджета на тот или иной организационный процесс (проект). Реализация финансовых рисков может привести к необходимости изменения политики финансирования деятельности компании и недовольству ее собственников и сотрудников.

Способы управления внутренними рисками организации

Проектные риски можно контролировать путем привлечения к исполнению проекта специалистов высокого уровня и тщательного планирования. Эффективным способом контроля рисков конкретного проекта являются пилотные программы, которые позволяют наилучшим образом оценить вероятность возникновения тех или иных проблемных ситуаций и их влияние на деятельность компании.

Технических рисков можно избежать или снизить их негативные последствия, если применять в бизнес-процессах организации технические решения и оборудование высокого качества. Все технические решения должны соответствовать уровню реализуемых в компании процессов. Снижению технических рисков способствует также повышение квалификации сотрудников, использующих оборудование в своей работе. Этот способ контроля и управления также способствует снижению рисков, носящих технологический характер.

Организационные риски наиболее разнообразны и сложно поддаются управлению, но их снижению способствует повышение качества планирования и информационного обеспечения, используемого при принятии различных управленческих решений. Устранение последствий организационных рисков возможно с помощью использования услуг сторонних консультантов и проведения переговоров для решения возникших проблем.

Замечание 2

Контроль финансовых рисков осуществляется исключительно с помощью планирования и бюджетирования.

Организации следует уделять особое внимание контролю выполнения бюджета.

Риски: понятие, общая классификация, виды и методы анализа



Актуальность написания статьи заключается в том, что в современном мире, в условиях рыночной экономики и жесткой конкуренции вопросы экономической безопасности предприятия, как экономического субъекта, особенно актуальны. Предприятия подвержены внутренним и внешним рискам. Одним из наиболее важных аспектов управленческой деятельности является способность просчитать и минимизировать последствия этих рисков. В результате работы в статье дано понятие риска, приведена общая классификация рисков, обозначены методы анализа рисков и информационные источники для сбора данных.

Ключевые слова: риск, классификация, информация, анализ, оценка.

В современных экономических условиях остро встает вопрос экономической безопасности предприятий. Быстро меняющееся законодательство, большое количество законов и подзаконных актов, отчетов, недобросовестные контрагенты и конкуренты, отсутствие достоверной информации при принятии управленческих решений — все это создает определенные трудности в деятельности организаций. Предприятия подвержены внутренним и внешним рискам, которые подрывают стабильное функционирование организации. Риски всех видов нуждаются в анализе, оценке их влияния, и их устранении. Рассмотрим некоторые определения понятия «Риск».

«Риск — это 1. Возможность опасности, неудачи. 2. Действие наудачу в надежде на счастливый исход» [1].

«Риск — 1. Возможная опасность. 2. Действие наудачу в надежде на счастливый исход дела. 3. Возможный убыток или неудача в каком-либо деле. 4. Опасность, от которой производится страхование имущества» [2].

«Риск — Возможная опасность. С риском для себя (что-нибудь делать). Подвергаться риску. Без риска (с

·инф.). Действие наудачу в надежде на счастливую случайность. «Риск благородное дело». погов.

2. Возможный убыток или неудача в коммерческом деле, обусловленные изменчивостью рыночной конъюнктуры (·торг.). Делить риск пополам.

3. Опасность, от которой производится страхование имущества (спец.).

– На свой риск или (·чаще) на свой страх и риск (действовать) — принимая на себя могущие произойти убытки или другие неблагоприятные последствия» [3].

«Риск — уровень неопределенности в предсказании результата. Риск — вероятность» [4].

«Риск — это возможность случайного возникновения нежелательных убытков, измеряемых в денежном выражении» [5].

«Экономический риск — это возможность потерь вследствие случайного характера результатов принимаемых хозяйственных решений или совершаемых действий» [6].

В процессе осуществления деятельности предприятия, как экономические субъекты, сталкиваются с совокупностью различных видов риска, которые оказывают определенное влияние на его экономическое состояние. Существуют различные классификации рисков, такие как инвестиционные риски, риски рынка ценных бумаг, риски на рынке недвижимости и другие.

Рассмотрим наиболее общие черты характерные для большинства рисков и классифицируем их в таблице 1.

Таблица 1

Классификация рисков

Вид

Название

Характеристика

По времени возникновения

— Ретроспективные

— Текущие

— Перспективные

Риски прошлых периодов

Возникающие в момент осуществления производственной деятельности

Возникают в будущем, как результат деятельности предприятия в настоящем периоде

По факторам возникновения

— Политические

— Экономические (коммерческие)

Влияет внешняя и внутренняя политика государства

Изменения в законодательстве и экономике страны, предприятия

По характеру учета

— Внешние

— Внутренние

Риски непосредственно не связанные с деятельностью предприятия

Обусловлены деятельностью предприятия, управленческими решениями

По характеру последствий

— Чистые (простые или стратегические)

— Спекулятивные (динамические или коммерческие)

Почти всегда несут убытки для предприятия

Причины — изменение конъюнктуры рынка, курса валют, налогового законодательства и др. Для предприятия могут нести потери, а могут и дополнительную прибыль.

По сфере возникновения

— Производственные

— Коммерческие

— Финансовые

— Страховые

Возникают в результате деятельности предприятия, неэффективного использования ресурсов, управленческих ошибок, простоев производства и т. п.

Возникают в процессе реализации товаров, услуг произведенных предприятием.

Связаны с невыполнением предприятием своих финансовых обязательств, вследствие снижения платежеспособности и т. п.

Связаны с наступлением страхового случая, предусмотренного условиями договора, в результате чего страховщик обязан выплатить страховое возмещение

Риски, связанные с производственной деятельностью

— Организационные

— Рыночные

— Кредитные

— Юридические

— Технико-производственные

Связаны с ошибками процесса организации производства и управления предприятием, кадровых ошибок, нарушения внутренних положений, регламентирующих деятельность предприятия.

Связаны с нестабильностью экономической конъюнктуры, изменением спроса на товары, изменением конкурентоспособности товаров и т. д.

Риски нарушения условий договоров, невыполнение контрагентами своих обязательств.

Риски связаны с изменениями законодательства, риск несоответствия законодательств разных стран; некорректно составленной документацией и т. д.

Возникают в результате поломок, аварий, ошибок при проектировании и монтаже объектов основных средств, неправильной эксплуатации объектов и т. д.

По последствиям

— Допустимый

— Критический

— Катастрофический

Возникает при принятии решений, в результате, которых могут возникнуть убытки, потеря прибыли. Сумма потерь не превышает ожидаемую прибыль. При этом предприятие полностью сохраняет свою платежеспособность и экономическую стабильность.

Сумма потерь превышает ожидаемую прибыль. При этом возникает риск потери всех средств, вложенных предприятием в данный проект.

Возникает риск потери предприятием платежеспособности. Потери могут привести к ликвидации предприятия.

По характеру возникновения

— Объективные

— Субъективные

Возникают независимо от деятельности хозяйствующего субъекта. Природные явления, политические изменения, изменения законодательства стран и т. д.

Возникают в процессе деятельности хозяйствующего субъекта.

По возможности прогнозирования

— Прогнозируемые

— Непрогнозируемые

Возможно предсказать и просчитать результат.

Невозможно спрогнозировать, например форс-мажорные обстоятельства, природные явления и т. д.

Как видно, классификация рисков достаточно обширна и разнообразна. Риски характеризуются множеством критериев. Рассматривая понятие «риск», следует выделить его основную составляющую — это «возможная опасность, неопределенность, вероятность». Таким образом, в процессе работы рисков не избежать, так как зависят они не только от осуществляемой экономической деятельности самим субъектом, но и имеют объективные причины возникновения, предсказать которые иногда бывает невозможно.

Одной из основных задач руководства предприятия является выявление причин возникновения рисков и их источников, анализ, оценка и определение способов защиты от их последствий. Если на внешние риски, нельзя повлиять, то на внутренние — можно. На уровень внутренних рисков влияют такие показатели деятельности экономического субъекта как: объем производства, продаж; квалификация и профессиональная подготовка специалистов и работников предприятия; стиль руководства; общий концептуальный подход к деятельности в условиях изменяющейся нормативно-правовой системы; разнообразие видов деятельности предприятия; степень компьютеризации и автоматизации; надежность системы внутреннего контроля; соблюдение положений о коммерческой тайне; частота смены руководства и личные характеристики руководителей; количество нетипичных для данного предприятия операций, деловая репутация и окружение.

Процесс принятия управленческих решений зависит от степени достоверности информации, которая позволяет реализовать задачи получения наибольшего дохода при оптимальном и допустимом, для экономического субъекта, соотношении рисков и прибыли.

Анализ риска позволяет оценить целесообразность принятия решения и предусмотреть защиту от возможных потерь. Обычно он проводится по двум взаимодополняющим направлениям: качественный и количественный анализ.

Представим источники информации, используемые для проведения качественного и количественного анализа рисков на схеме 1.

Рис. 1. Источники информации для анализа рисков

«Качественный анализ представляет обнаружение рисков, исследование особенностей, выявление последствий реализации этих рисков в форме экономического ущерба, раскрытие источников информации относительно каждого риска». [7] Результаты качественного анализа — это исходная информация для количественного анализа.

«Количественный анализ риска — это обработка полученных данных, которая позволяет просчитать численное значение вероятности наступления риска, спрогнозировать суммы убытков, выделить наиболее значимые по величине потерь риски» [7].

Для количественного анализа степени риска используют множество различных методов: статистический, экспертный, комбинированный, аналогий, аналитический и т. д. Рассмотрим наиболее распространенные.

Статистический метод — это изучение данных о потерях и прибылях в суммовом выражении, полученных в результате осуществления деятельности экономического субъекта, определение эффективности работы, которая рассчитывается как отношение прибыли к затратам. В расчетах используются данные прошлых периодов. Используются различные методы статистической обработки данных (математическое моделирование, анализ временных рядов и другие). К недостаткам этого метода можно отнести трудоемкость сбора данных и большой объем информации для обработки.

Экспертный метод — это ознакомление с опытом специалистов, компетентных в данной области, по интересующему вопросу, сбор и обобщение их мнений. Проведение экспертиз. С помощью этого метода оценивается вероятность допустимого и критического риска или наиболее вероятные потери данного предприятия. Недостатками этого метода являются — отсутствие гарантий достоверности мнений, возможная доступность опроса необходимых специалистов.

Использование статистического и экспертного методов определения риска в совокупности дает наиболее достоверные результаты. Такой способ можно назвать комбинированным методом анализа риска. [8]

Метод аналогий — используют данные о рисках в аналогичных проектах. Часто применяется для оценки риска в повторяющихся проектах.

В результате работы мы выяснили, что риски представляют собой многочисленные взаимосвязанные факторы, которые оказывают определенное влияние на организацию. Это сложное и многогранное понятие, которое подлежит классификации, анализу, оценке и оптимизации, назвали источники информации. Избежать рисков невозможно. Предприятию следует разработать собственную стратегию управления рисками, используя научную базу, выделить наиболее значимые для себя. И тогда, результатом взаимодействия экономического субъекта (предприятия) с внешней и внутренней средой, будет являться успешность его функционирования, финансовая устойчивость и конкурентоспособность.

Литература:

  1. Ожегов С. И. Толковый словарь. Издательство «Азъ», 1992 г.
  2. Ефремова Т. Ф. Новый словарь русского языка. Толково-словообразовательный. — М.: Русский язык, 2000
  3. Большой толковый словарь русского языка / Под ред. Д. Н. Ушакова. — М.: Славянский дом книги, 2014 г.
  4. Словарь терминов по антикризисному управлению. Интернет ресурс https://www.klerk.ru/slovar/cris/letter/208/
  5. Уколов А. И. Управление рисками страховой организации. Учебное пособие [Текст]// А. И. Уколов. — М.:Директ-Медиа,2013-с.12
  6. Экономика и право: словарь-справочник.-М.: Вуз и школа. Л. П. Кураков, В. Л. Кураков, А. Л. Кураков. 2004
  7. Каранина Е. В. Управление рисками организации: учебник [Текст] / Е. В. Каранина, О. А. Рязанова. — Киров: ВятГУ, 2018. — 238 с.
  8. Гранатуров В. М. Экономический риск: сущность, методы измерения, пути снижения: учебное пособие [Текст] / В. М. Гранатуров. — М.: Дело и Сервис, 2002. — 154 с.

Основные термины (генерируются автоматически): риск, предприятие, экономический субъект, возможная опасность, деятельность предприятия, источник информации, количественный анализ, возможный убыток, качественный анализ, производственная деятельность.

Организационный риск-менеджмент конкурентоспособного производства Текст научной статьи по специальности «Экономика и бизнес»

ОРГАНИЗАЦИОННЫЙ РИСК-МЕНЕДЖМЕНТ КОНКУРЕНТОСПОСОБНОГО ПРОИЗВОДСТВА

В.В. Решетов

Структурное рассмотрение модели организации конкурентоспособного производства в условиях организационных рисков — это результат анализа, прогнозирования, оптимизации и выбора из ограниченного множества организационных приоритетов, организационной позиции, организационной политики, организационной структуры производственных процессов для обеспечения эффективного использования ресурсов предприятия, а также реального развития конкурентных преимуществ. Организованность пространства — это строгая совокупность упорядоченности, соразмерности, соответствия и зависимости отдельных частей целого для поддержания целенаправленности состояния системы, а также развития предпочтительного состояния исходя из целесообразной структурной устойчивости конкурентоспособного производства.

Организация производства как целостная система пространственных элементов определяет структурную упорядоченность. Организационный риск-менеджмент экономического развития конкурентоспособного производства должен быть предусмотрен в каждом организационном структурировании различных построений организации производства при условии соблюдения принципов адаптивности, устойчивости и управляемости.

Именно вероятностное предположение возникновения рисков и количественная оценка их последствий при организованности системы обеспечивает конкурентный характер развития производства. Неорганизованность пространства конкурентоспособного производства приводит к потере организационного эффекта, конкурентных преимуществ. Причем, в организованном пространстве конкурентоспособного производства возникают функциональные связи разнородных взаимосвязанных организационных элементов, которые способствуют развитию конкурентных преимуществ за счет возникновения новых пространственных свойств целого

Ключевые слова: регулируемая экономическая категория, организованность пространства, вероятностная оценка, организационная позиция, организационные приоритеты, организационные риски, концепция систем, количественная мера, конкурентные преимущества, организационные факторы

Спад российского ВВП по итогам первого квартала 2015 года составил 2% по отношению к первому кварталу 2014 года, промышленное производство сократилось за указанный период на 0,4%., санкции нанесли России ущерб в 25 млрд. евро, или 1,5% ВВП. С таким отчетом выступил в Госдуме председатель правительства РФ Д.А. Медведев. Российская экономика впервые в истории оказалась под воздействием сразу двух внешних факторов — это резкое падение цен на нефть, и серьезное санкционное давление. В ситуации системного кризиса особое внимание, по мнению многих экономистов, следует уделять анализу рисков, как экономической категории. В этом случае именно «правильно выстроенный риск-менеджмент компании дает возможность сгладить негативные последствия при раскрытии риска, а также вероятность его наступления …» [1, С. 14].

Организация производства — это всегда системный процесс влияния на формирование конкурентных преимуществ путем последовательной процедуры выбора наиболее предпочтительных организационных факторов, определяющих условия устойчивых темпов экономического роста. Причем, при формировании конкурентных преимуществ создается система интегрированных процессов, настроенных на создание потока создания стоимости. «Поток создания стоимости представляет собой сгруппированную совокупность основных процессов» [2, С.93]. По мнению экономистов, для обеспечения конкурентоспособности «единственный ресурс, которого не достает России — это четкость и организованность рабочих процессов» [3, С.138]

При всем многообразии организационных позиций присутствие организационных рисков, как существенных упущений в подборе организационной структуры,

организационной культуры, организационной платформы, организационных приоритетов и т.д. зависит от комплекса внутренних и внешних факторов организационного характера.

Организаторы производства всегда подчеркивают, «что конкурентоспособность фирмы определяется не оптимизацией ресурсов или роста. Ее источник -«организационные рутины», определяющие потенциал конкурентной устойчивости фирмы. … Выживут и будут развиваться фирмы, «организационные рутины» которых позволят быстрее приспособиться к переменам» [4, С. 70]

Стратегия конкурентных действий связана с иным перераспределением функций управления и предполагает формирование новых организационных структур исходя из современной тенденции развития конкурентоспособного производства. Организацию конкурентоспособного производства можно представить как систему процессов производства, а также принципов их взаимодействия при непрерывной смене состояний равновесия для обеспечения целостности и динамического равновесия. Очевидно, что для достижения такого равновесия организация должна иметь достаточно гибкую структуру. Это возможно при условии, что будет действовать организующая система для эффективного функционирования в условиях конкурентной зоны предложения и спроса.

Композиционное влияние на процесс формирования организационной структуры имеют предпочтительно отобранные принципы организации конкурентоспособного производства. Глобальные изменения в организации производства полностью отвергают жесткую организационную структуру, которая служит основным негативным моментом в адаптации производства к изменениям рынка. Поэтому следует придерживаться идей опережающего проектирования организационной структуры, исходя

из возможности возникновения организационных рисков в условиях:

— построения структуры управления путем выделения ключевых процессов и определения целей, непосредственно связанных с этими процессами;

— определения центра ответственности за ключевые процессы, принятия решений и ответственности, обеспечения сотрудничества и координации деятельности работников по уровням иерархии;

— единства структуры и функций управления, гибкости и способности организационной структуры к автономному целенаправленному функционированию в быстро меняющейся среде;

— рационального сочетания в структуре управления централизации, специализации и интеграции функций управления с учетом рациональных средств и опыта;

— адекватности структуры управления с производственной структурой предприятия через приоритет координационных связей;

— комплексной увязки в структуре управления путем принятия решений на всех уровнях организационной иерархии, сочетания восходящего и нисходящего проектирования.

Выбор и научное предположение возникновения организационных рисков способствует установлению закономерностей организационного развития конкурентоспособного производства. Прогнозирование возможного наличия организационных рисков способствует реализации цели организации конкурентоспособного производства за счет формализации определенной модели, представляющей собой совокупность системных процедур, ведущих к непрерывному изменению содержания производственных и коммерческих процессов для создания и сохранения конкурентных преимуществ.

Преднамеренное изыскание организационных рисков способствует построению такой организационной структуры, которая формирует стержень конкурентоспособного производства и устанавливает состав, соот-

ношение и характер взаимосвязей между структурными подразделениями. Организационная структура способствует обеспечению эффективности деловых процессов, оптимизации взаимодействия между различными подразделениями и службами предприятия. На содержание организационной структуры влияют факторы: организационно-правовая форма и масштабы деятельности; производственные и отраслевые особенности предприятия; характер производства; сфера деятельности; уровень стандартизации и информатизации управленческих работ; профессионализм работников.

Наличие организационной структуры дает возможность реализовать функции организационно-управленческого процесса по совокупности взаимосвязанных процессов, а именно: планирования (прогнозирования), организации, контроля, регулирования, мотивации, управленческой предприимчивости и функционирования коммерческих связей.

Организационная структура устанавливает границы и формы разделения труда, и оптимальность этого процесса влияет на скорость принятия решений и вероятность возникновения организационных рисков. Организационная структура состоит из персонала, действий и процессов, которые организованы для совместного функционирования в системе обеспечения конкурентоспособного производства. Организационная структура как важнейшая часть организационного развития, процесса изменений, совершенствования системы управления предприятием включает в себя распределение ключевых функций управления, комбинацию потоков управленческого процесса, центры ответственности по организационным позициям, формы делегирования полномочий и ответственность персонала за конечный результат организации.

Непосредственное содержание организационной структуры состоит в строго упорядоченной процедуре координации действий и организации выполнения функ-

циональных обязанностей работниками, направленных на достижение конкурентных целей.

Организационная структура задается конкурентной стратегией и формируется с помощью таких инструментов, как организационная культура, организационная позиция и организационные приоритеты. Возможность возникновения организационных рисков при построении организационной структуры может быть заложено:

— в сущностном представлении организации, как внутренней упорядоченности частей целого, выстраиваемой в соответствии с разработанной стратегией;

— в расстановке ключевых конкурентных преимуществ при принятии управленческих решений;

— в принципах конкурентного поведения в технологии управления внутренними и внешними коммуникационными процессами;

— в обзорном представлении конкурентных перспектив и предстоящих изменений в системе конкурентоспособности;

— в деловом совершенстве, выстраивая организационные отношения, способные создавать ценности и условия непрерывного развития и внедрения инноваций.

Подобранная организационная культура также содержит возможное появление организационных рисков. Для сокращения причин, запускающих организационные риски, следует принять формат организационной культуры как строго отобранную совокупность конкурентных направлений, норм и принципов конкурентного поведения, определяющих цель и содержание организации производства на основе рационального взаимодействия всех звеньев производственных процессов.

Необходимость организационной позиции состоит в том системном наборе принципов и методов, которые в наилучшей мере способны определить организационный потенциал предприятия и задать необходимый конкурентный ритм. Организационная позиция влияет на изменение организацион-

ной структуры в случаях: изменения рыночных условий; реализации инновационных стратегических направлений развития сферы производства; отставания организационной структуры от производственной программы, осуществления собственной системы приоритетов по программе повышения конкурентоспособности и т. д.

Причем организационная позиция также притягивает организационные риски. Исключение их возможно в том случае, если организационную позицию воспринимать как строго упорядоченную систему, согласованных процессов по совместимости, усилению взаимосвязи и оптимизации для развития конкурентных преимуществ. Организационные инструментарии будут выполнять свое основное предназначение только вкупе с задаваемой организационной позицией. В этом случае именно организационная позиция предназначена для реализации функций управления изменениями.

Организационные приоритеты формируются с учетом факторов внутренней среды, использования потенциала конкурентоспособного производства, а также индикаторов внешней среды. К факторам внутренней среды относится организация: кадрового потенциала, маркетингового потенциала, менеджмента, производственно-технологического потенциала, а также финансово-экономические возможности. Использование потенциала воспринимается с учетом резервов, к которым можно отнести организацию: обновления и расширения возможностей технологического оборудования, основного, вспомогательного, обслуживающего производства, обновления производственной программы и т.д. Организационные приоритеты производителю дают возможность предусмотреть изменения потребности, отреагировать на изменившееся состояние потребности, выполнить стратегические решения по изменившимся рыночным условиям, то есть адаптироваться к постоянно изменяющимся условиям внешней среды.

Процедура организационных приоритетов устанавливает несколько иные условия при формировании организационной структуры в условиях возможного проявления организационных рисков:

-приспособленность производственных структур к быстрой смене внешних условий и способность эффективно функционировать в условиях рынка;

— управляемость, наблюдаемость и приспособляемость к быстрой смене внешних условий всех процессов на предприятии;

— вовлечение и мотивация персонала за счет построения эффективной самоорганизующейся модели;

— непрерывное совершенствование и многовариантное проектирование системы обеспечения конкурентоспособного производства;

— взаимосвязанность и взаимообусловленность всей совокупности элементов, входящих в организационную структуру.

Данные условия воспринимаются как целенаправленные воздействия для обеспечения координации и регулирования в системе конкурентоспособного производства, организация — это вид строго упорядоченной системы. Именно система, как организующее условие, создает преимущества по разработке и применению в организации единой процедуры управления процессами, а также обеспечивает оптимальное взаимодействие элементов.

Вся совокупность элементов организации конкурентоспособного производства должна сопровождаться единым методологическим подходом к количественной их оценке. Именно количественная оценка позволяет объективно установить факторы, влияющие на оптимальное построение организации конкурентоспособного производства. Автор предполагает, что в основу модели интерактивного прогнозирования организационных рисков конкурентоспособного производства должен быть положен методический порядок, который воспроизведен на рисунке.

Вероятностное моделирование организационных рисков конкурентоспособного производства

[Методологическим базис Моделирование

построения вероятностных моделей организационных рисков

Принципы, условия и закономерности Оценка типов организационных

применения вероятностного ыоделнрова- ттття рисков

+ +

МногоЕа.рнаншые сценарные р асч еты Вероятностная оценка рисков по

интеграш-ги н адаптации центрам ответственности

+

Способность к ограничениям организационных образований Оценка стабильных и динамичных организационных структур

+ +

«Управление изменениями в организационных процессах Сравнительная оценка и прогноз организации: конкурентоспособного производства

Установление показателей результативности организационных границ

конкурентоспособного производства

Корректирующие мероприятия по организационным изменениям конкурентоспособного производства

ТУГоттиторнн 1 и сравнение организационных позиций конкурентоспособного производства

Модель интерактивного прогнозирования организационных рисков конкурентоспособного производства

При оценке типов организационных рисков, дифференциации центров ответственности, а также сравнительной оценке моделей организации конкурентоспособного производства должен проводиться детальный анализ способности к изменениям и совершенствованию, внутренних бизнес-процессов, способности к удовлетворению запросов потребителей и качества организации производства. Количественная оценка организации конкурентоспособного производства является способом системного влияния на трансформацию конкурентных преимуществ.

Моделирование соответствующих вариантов организационной структуры исходя из организационной культуры, организационной позиции и организационных приоритетов возможно только в результате

оценки организационных рисков. Используя при этом строго подобранное количественное измерение для выбора организационной позиции конкурентоспособного производства, основанное на применении концепции систем. В этом случае только количественная мера позволяет оценить динамику развития конкурентных преимуществ за счет организационных факторов.

Литература

1. Гончарук, Е. А. Основные риски привлечения финансовых ресурсов на международном рынке капитала и методы их минимизации [Текст] / Е. А. Гончарук // Экономические науки. — 2015. — № 9 (130). -С. 11-14.

2. Козимянец, К. В. Поток создания стоимости как инструмент разработки системы процессов организации [Текст] / К. В. Ко-зимянец // Национальные концепции качества: опыт и перспективы европейской интеграции: сборник материалов международной научно-практической конференции. -2013.- С. 92-95.

3. Осипова, К.Н. Применение метода 6 сигм на российских предприятиях для повышения конкурентоспособности россий-

российской промышленности [Текст] / К. Н. Осипова // Национальные концепции качества: опыт и перспективы европейской интеграции: сборник материалов международной научно-практической конференции. -2013.- С. 136-140.

4. Тарануха, Ю. В. Стратегия поведения в современной конкуренции [Текст] / Ю. В. Тарануха // Маркетинг в России и за рубежом. — 2014. — № 2. — С. 68-84.

Решетов Вячеслав Владимирович, кандидат экономических наук, доцент кафедры экономики и управления на предприятии машиностроения, Воронежский государственный технический университет (г. Воронеж, Российская Федерация), [email protected]

ORGANIZATIONAL RISK MANAGEMENT OF COMPETITIVE PRODUCTION

V.V. Reshetov, Voronezh State Technical University, Voronezh, Russian Federation, v.reshetov@mail .ru

The structural consideration of the model of launching competitive production in conditions of organizational risks is the result of analysis, forecasting, optimization and restricted choice of organizational priorities, positions, policies and structures of industrial processes to ensure the effective use of company resources and real development of competitive advantages. The orderliness of space is the strict aggregation of regularity, proportionality, compliance and interdependence of individual parts of the whole, aimed at keeping the focus of the system status and raising the preferred state, based on appropriate structural stability of competitive production.

As an integrated system of space elements, production organization determines the structural regularity. The organizational risk management of economic competitive production development must be envisaged in any structural type of production organization procedure, subject to the principles of adaptivity, sustainability and manageability. The probabilistic assumption of risks, along with assessment of their impact in system organization, ensures the competitive nature of production development. The disorganization of competitive production space can result in a loss of organizational effect and competitive advantage. Moreover, the organized space of competitive production can generate the functional links between heterogeneous interrelated organizational elements, which contribute to development of advantages through the emergence of new spatial properties of the whole

Key words: regulated economic theory, orderliness of space, probabilistic assessment, organizational position, organizational priorities, organizational risks, the concept of systems, quantitative measure, competitive advantages, organizational factors

References

1. Goncharuk, E. A. Osnovnye riski privlecheniya finansovyh resursov na mezhdunarodnom rynke kapitala i metody ih minimizacii [Tekst] [Main risks-attraction of financial resources on international capital markets and methods of their mini-misali [Text]]. Economic science. — № 9 (130). — 2015. — P. 11-14.

2. Kozimyanec, K. V. Potok sozdaniya stoimosti kak instrument razrabotki sistemy processov organizacii [Tekst] [Stream value as a tool for system design, organizational processes [Text]]. Nacional’nye koncepcii kachestva: opyt i perspektivy evropejskoj integracii: sbornik materialov mezhduna-rodnoj nauchno-prakticheskoj konferencii [National concepts of quality: experience and prospects of European integration: collection of materials of international scientific-practical conference]. — 2013. — P. 92-95.

3. Osipova K. N. Primenenie metoda 6 sigm na rossijskih predpriyatiyah dlya po-vysheniya konkurentosposobnosti rossijskoj promyshlennosti [Tekst] [The application of method 6 Sigma at Russian enterprises to enhance the competitiveness of Russia’s industry [Text]] Nacional’nye koncepcii kachestva: opyt i perspektivy evropejskoj integracii: sbornik materialov mezhdunarodnoj nauchnoprakticheskoj konferencii. [National concepts of quality: experience and prospects of European integration: a collection of mA-materials of the international scientifically-practical conference]. — 2013. — P. 136-140.

4. Taranuka Yu. V. Strategiya povedeniya v sovremennoj konkurencii [Tekst] [Strategy in the modern competitive environment [Text]]. Marketing v Rossii i za rubezhom [Marketing in Russia and abroad]. — — 2014. — № 2. — P. 68-84.

3.2. Развитие организационной структуры управления рисками фирмы

3.2. Развитие организационной структуры управления рисками фирмы

При построении эффективной системы управления инвестиционной деятельностью в современных условиях необходимо четко осознавать, что в настоящее время она осуществляется в условиях систематической, перманентно растущей неопределенности. Такое положение обусловлено целым рядом факторов: глобализацией экономических процессов, усложнением схем взаимодействия между рыночными субъектами, ускорением научно-технического прогресса.

Наличие названных моментов предполагает, что парадигма формирования (выбора) основной цели управления инвестиционной деятельностью как деятельности, направленной на борьбу с неопределенностью, минимизацию рисков, не является корректной в современных рыночных условиях. Данный подход к инвестиционному менеджменту представляет по своей сущности не что иное, как сведение стратегии управления инвестиционной деятельностью в условиях неопределенности к политике минимизации возможностей. Это обусловлено тем, что первоначально функциями риск-менеджмента занимались специалисты в области экономики предприятия, плановики, бухгалтеры-аналитики, которые шли от учета и проведения расчетов, построения планов, прогнозов и калькулирования цен к вопросам подготовки и принятия решений по широкому спектру проблем управления рисками предприятия.

По нашему мнению, следующим шагом в развитии управления инвестиционной деятельностью в условиях неопределенности в России должна стать разработка универсальных правил, операционных процедур, сценариев для принятия рисковых решений, что позволит интерпретировать его как совокупность общих стандартизированных методов, процедур и технологий. Субъекты инвестиционной деятельности учатся самостоятельно принимать рисковые решения относительно своей хозяйственной деятельности, заниматься анализом, оценкой и снижением рисков, с учетом этого вырабатывать стратегию своей деятельности в ситуации неопределенности.

Общий концептуальный подход к управлению рисками инвестиционной деятельности, по нашему мнению, заключается в следующем: 1) в выявлении возможных последствий инвестиционной деятельности в рисковой ситуации; в разработке мер, не допускающих, предотвращающих или уменьшающих размер ущерба от воздействия не учтенных до конца рисковых факторов, непредвиденных обстоятельств;

2) в реализации такой системы адаптирования к рискам, при помощи которой могут быть не только нейтрализованы или компенсированы негативные вероятные результаты, но и максимально использованы шансы на получение высокого дохода.

Риск-менеджмент в рамках всего субъекта инвестиционной деятельности отражает изменения парадигмы, на которую опираются менеджеры, управляя факторами неопределенности, препятствующими достижению стратегических, оперативных и финансовых целей. В то время как старая парадигма характеризовалась обособленным подходом к управлению рисками (когда каждый риск рассматривался отдельно), новый подход является единым, комплексным, интегрирующим все риски организации, в рамках которого разрабатываются стратегии реагирования на риск.

Руководители большинства организаций традиционно считают риск-менеджмент специализированной и обособленной деятельностью. Например, это касается управления страховыми или валютными рисками. Новый подход заключается в ориентировании служащих и менеджеров всех уровней на риск-менеджмент.

При построении системы управления рисками необходимо также четкое осознание того, что устранение неопределенности не является главной задачей, самоцелью управления инвестиционной деятельностью. Приоритетная задача этой системы – создание механизма, способного обеспечить эффективное ведение инвестиционной деятельности в условиях неопределенности, т.е. создание системы гибкого лавирования с оптимальным использованием предоставляемых возможностей. Задача же устранения неопределенности, а еще точнее сказать, снятия ее, является лишь подфункцией системы управления инвестиционной деятельностью. При решении задачи о снятии, снижении предметной неопределенности необходимо помнить, что в среде управления рисками важна не только точность дополнительно получаемых данных, но и их информативность с точки зрения возможности выработки адекватных решений в системе риск-менеджмента, т.е., если из ряда характеристик оцениваемого объекта возможность получения достоверной полноценной информации есть только по одной из характеристик, нецелесообразно тратить время на проработку всей информационной насыщенности этой характеристики, так как эта информация не будет конструктивной с точки зрения возможности обеспечения сопоставления всех параметров объекта. Но при этом в организации, безусловно, должна формироваться необходимая база данных по рискам и мероприятиям по управлению ими.

При построении системы управления рисками инвестиционной деятельности должно идти сочетание структурно-организационного и процессно-функционального подходов, которое учитывает уровень риска, меры управления рисками, основные мероприятия по управлению рисками, процесс управления и организационные структуры управления рисками инвестиционной деятельности и их функции.

Одним из объектов управления и в то же время его инструментом является структура организации. Правильно выбранная организационная структура, своевременная ее трансформация в соответствии с меняющимися внутренними и внешними факторами – это важные, строго обязательные условия полной реализации своей стратегии и тактики управления рисками инвестиционной деятельности, эффективной деятельности организации сегодня и в перспективе.

Очень часто недостатки в организационных структурах приводили даже достаточно мощные организации к кризисным ситуациям. Поэтому выбор организационной структуры, наилучшим образом соответствующей внутренним и внешним факторам, определяющим деятельность организации, является стратегической целью менеджмента.

С целью построения оптимальной организационной структуры управления рисками инвестиционной деятельности необходимо учитывать, что субъекты инвестиционной деятельности в рыночных условиях специализируются на оказании различных видов услуг, ставят перед собой различные цели, а, следовательно, их организационные структуры могут варьироваться в широких пределах. Каждая из видов организационных структур имеет свои преимущества и недостатки, которые должны учитываться в процессе выбора оптимальной структуры, организации риск-менеджмента, соответствующей конкретным рыночным условиям. Организационная структура призвана обеспечить рациональную организацию работы риск-менеджеров, успешное осуществление всех функций управления и в конечном счете достижение целей, стоящих перед риск-менеджментом.

На основе анализа мирового опыта многообразие организационных форм построения можно разделить с определенной долей условности на 2 большие группы:

1) классические (традиционные) оргструктуры;

2) адаптивные оргструктуры.

Наряду с этим выделяют группу оргструктур, отличающихся степенью централизации управления. Хотя, на наш взгляд, большая или меньшая централизация принятия управленческих решений относится к ряду характеристик организаций, прежде всего крупных, использующих и классические, и адаптивные варианты, а, кроме того, централизация и децентрализация – это проблема, прежде всего и больше всего касающаяся распределения полномочий между различными органами управления организации в рамках его действующих структур, в том числе между головной конторой и филиалами (отделениями).

К классическим структурам (традиционным формам) организационного построения относятся:

1) функциональные структуры;

2) дивизиональные структуры.

Функциональная структура предполагает существование в организации более или менее обособленных подразделений, реализующих функции в соответствии с определенным делением деятельности на отдельные части или отрасли (управления, операционное, маркетинга, бухгалтерского учета, хозяйственное и др.) Если объемы задач, решаемых данными подразделениями, достаточно большие, внутри них могут создаваться дополнительные, более мелкие структурные единицы. Другими словами, при функциональной организационной структуре вся деятельность разделяется между службами, осуществляющими строго регламентированные функции, выполнение которых ведет к достижению целей менеджмента.

При дивизиональной организации внутренние структуры строятся в соответствии с видами предлагаемых продуктов; особенностями отдельных групп клиентов; особенностями регионов и региональной клиентуры. Соответственно говорят о структурах, ориентированных на продукты, на особые группы потребителей, на регионы.

Продуктово-ориентированные подразделения целесообразно создавать в тех случаях, когда организация реализует своим клиентам весьма значительные объемы отдельных видов продукции (услуг), такие, что без выделения специального подразделения со своим особым руководством эффективное предоставление таких продуктов (услуг) становится проблематичным. В зависимости от обстоятельств развития конкретного субъекта инвестиционной деятельности таким направлением его деятельности, которое требует выделения специализированного подразделения, может оказаться любой продукт.

Структурное построение, ориентированное на особые группы клиентов (потребителей продуктов), означает большую или меньшую специализацию на обслуживании определенных слоев субъектов экономики, на предоставлении в первую очередь именно этим слоям всего комплекса или отдельных продуктов (услуг). Рассмотренные варианты классических оргструктур можно считать основными. Кроме того, определенное своеобразие в организационное построение вносит наличие у них филиалов (отделений) и выполнение ими международных операций.

Если мы посмотрим на распределение рисков инвестиционной деятельности, то не увидим никакой их функциональной или предметной принадлежности к какому-либо подразделению организации: везде существуют и риски безопасности, и операционные риски, и риски ликвидности, каждое подразделение в состоянии обрушить рыночную позицию организации.

Точно так же работники подразделений в равной степени связаны с внешними источниками возникновения рисков. Функциональная специализация связана с внутренними источниками, да и то лишь в рамках формальной структуры, а не реальной.

Исследуемые нами ведущие зарубежные компании выбрали разные пути для того, чтобы в ходе внедрения системы риск-менеджмента в рамках всей организации их сотрудники стали интересоваться рисками компании. Изложенные выше соображения позволяют предложить структуру службы управления рисками, основанную на совместной аналитической и прогностической работе работника этой службы – куратора подразделения организации и ответственного (выделенного) работника курируемого подразделения. Конечно, один куратор может работать с несколькими подразделениями. Ведь здесь важно не столько знание предмета деятельности какого-либо подразделения, сколько знание методов анализа рисков и инструментов управления ими. Что касается внешней среды фирмы, то здесь кураторство может быть установлено по нескольким важнейшим позициям. Группу кураторов должен возглавлять либо директор инвестиционной компании, ФПГ, председатель правления банка, либо его заместитель, который был бы в состоянии оценивать динамику развития конкретного риска и его влияние на все ценностные экспозиции субъекта инвестиционной деятельности.

До настоящего времени адаптивными считались организационные структуры, создаваемые на временной или постоянной основе для решения тех или иных дополнительных (на данный момент времени) задач в основном за счет самострахования, что позволяло им частично приспосабливаться к изменяющимся условиям (в отношение большинства крупных рисков самострахование не обеспечивает их компенсацию). Служба риск-менеджмента должна представлять собой матричную структуру за счет взаимодействия вертикали функциональных отделов с горизонталью направлений развития вокруг основных методов и приемов процесса управления рисками инвестиционной деятельности, а именно: оценка риска, перспективное развитие, превентивные мероприятия, самострахование, страхование, контроль и мониторинг интегрального и остаточного рисков должны пронизывать горизонталь управления направлений развития инвестиционной деятельности. Это позволит более гибко адаптироваться к различным факторам неопределенности, используя различные методы управления рисками, более того, реализуя процесс управления риском в каждом направлении развития инвестиционной деятельности.

После выяснения совокупности и конфигурации рисков, которыми должна управлять служба управления риском, можно приступать к выработке организационной структуры конкретного субъекта инвестиционной деятельности. Эта структура и конкретное штатное расписание службы зависят от множества обстоятельств: этапа развития организации, рискового профиля, численности сотрудников всей организации, особенностей технологий и географии обслуживания, финансовых масштабов данного бизнеса, юридических обязательств организации, стратегии общего управления и стратегии защиты от рисков и пр. От всех этих обстоятельств зависит количество работы, которое придется на данную службу риск-менеджмента.

На западе управление рисками развивалось как система понятий и дисциплин, цель которой – помощь в организации защиты от негативных финансовых последствий, непредвиденных событий или неблагоприятных обстоятельств, возникающих в процессе предпринимательской деятельности. Большинство западных фирм имеет в штате специального менеджера по риску. В его обязанности входит обеспечение снижения всех видов риска. Обычно менеджер по риску разделяет ответственность за рисковые решения с другими менеджерами фирмы, заведующими той или иной сферой деятельности фирмы. Большинство вопросов менеджер по риску решает вместе с маркетологом; с руководителем, ответственным за подбор персонала; с инженером по технике безопасности; с начальником службы безопасности и т.д.

По мнению автора, данная организационно-структурная схема службы риск-менеджмента не может обеспечить оптимизацию уровня рисков инвестиционной деятельности у крупных субъектов инвестиционной деятельности. Это связано с тем, что важнейшим этапом деятельности в рамках управления рисками инвестиционной деятельности является выбор метода оптимизации риска. Данные методы могут быть разделены на превентивно-профилактические методы, или упреждающие, и компенсационные. Задача первых – минимизировать возможность наступления негативного, нежелательного события или снизить величину его ущерба, задача вторых – оптимизировать систему компенсации рисков в случае их наступления. Выбор того или иного метода определяется не столько эффектом применения относительно конкретного риска, сколько эффектом в отношении совокупности рисков инвестиционной деятельности. Поэтому и необходима организация департамента риск-менеджмента, который бы оценивал все важнейшие риски инвестиционной деятельности.

Чаще всего управление риском берет на себя один из заместителей высшего руководителя фирмы, которому помогают несколько специалистов. Состав этих специалистов зависит от особенностей каждого конкретного случая, но в целом применяется логика разделения всей работы на два участка: предотвращение неприятностей и снижение неприятных последствии конкретных событий.

По мере увеличения и усложнения работы по риск-менеджменту в отдельные направления и соответственно подразделения обычно выделяют анализ рисков и управление безопасностью бизнеса. В крупных холдингах служба управления рисками чаще всего приобретает очертания департаментов, в которых управление может вестись по специфическим группам рисков. Кроме того, в обязанности этих департаментов во многих крупных корпорациях мира включаются внутреннее страхование и обслуживание бенефиций (социальной защиты) сотрудников корпорации.

Автор полагает целесообразным создание отдела управления рисками в крупной корпорации в таком составе: служба планирования и координации; группа мониторинга и анализа риска; группа планирования антикризисных мероприятий; группа самострахования, группа страхования, группа управления в кризисных ситуациях; группа перспективного методического развития. Это вполне возможный вариант, предусматривающий непосредственное подчинение этой службы первому руководителю субъекта инвестиционной деятельности. Безусловно, значимость риск-менеджмента позволяет желать такого подчинения. Но подобного статуса можно желать и службе маркетинга, и службе управления персоналом, и службе финансового планирования и анализа.

Если руководство организации является главным органом по управлению риском, то комитет по аудиту можно рассматривать как расширение этой функции руководства. Комитет по аудиту служит важным инструментом, помогающим менеджменту в деле выявления и управления различными областями риска в сложных организациях. Формулировка миссии комитета по аудиту, организованного в соответствии с современными принципами, должна выглядеть как совершенствование управления операционными рисками на основе работы группы специалистов. Существуют противоречивые мнения относительно ценности работы аудиторских комитетов. Их сравнивали с соломинкой, за которую хватаются советы директоров, когда хотят показать, что озабочены управлением риском. Вполне естественно, что руководство, перед которым встают проблемы управления риском, обращается к аудиторам как к источнику накопленной в компании информации о решавшихся в прошлом проблемах. Сторонники этой точки зрения считают аудиторов лишь специалистами по проведению контрольных проверок, тогда как управление риском – непростая задача и не может делегироваться какому-либо комитету, департаменту или команде.

Главный исполнительный руководитель и управленческая команда ведут повседневные операции, применяя политикой руководства, соблюдая законы и нормы регулирования и опираясь на эффективную систему внутреннего контроля. Риск-менеджмент должен обеспечивать директоров информацией, необходимой для выполнения их обязанностей, быстро и со всей полнотой отвечать на запросы руководства. Кроме того, менеджмент должен использовать свою квалификацию для генерирования новых инновационных идей и выработки рекомендаций. Риск-менеджеры как лица, несущие основную ответственность за административное управление, должны иметь стимулы для осуществления постоянного, основанного на знании исследования деловых операций и связанного с ними риска. Обязанности и задачи высшего руководства включают назначение на управленческие должности среднего звена работников, обладающих требуемыми профессиональными навыками, опытом и честностью; формирование адекватных стимулов и систем управления персоналом; организацию подготовки кадров. Менеджмент должен обеспечивать наличие адекватных управленческих информационных систем, прозрачность, своевременность, точность и полноту информации.

Обязанности менеджеров в отношении риска инвестиционной деятельности состоят в том, чтобы:

1) разработать стратегический план и методы управления риском и представить на утверждение совету директоров;

2) осуществлять стратегические планы и методики после того, как они утверждены советом;

3) обеспечить разработку руководств по применению методов, процедур и стандартов для ключевых функций субъекта инвестиционной деятельности и его основных рисков;

4) обеспечить реализацию контроля над соблюдением установленных лимитов риска;

5) обеспечить немедленное информирование о фактах несоблюдения этих лимитов;

6) обеспечить проведение внутренними аудиторами анализа и оценки адекватности методов контроля и соблюдения лимитов и процедур;

7) разработать и применять системы управленческой отчетности, адекватно отражающие деловые риски.

В основе деятельности службы риск-менеджмента лежат стратегия и программа управления риском. Стратегия формулируется письменно и утверждается высшим руководителем. Автором первичного текста стратегии, как правило, является один из заместителей ее первого руководителя, на которого возлагается общее руководство работой по риск-менеджменту. В большинстве случаев для выработки первого варианта такого документа в помощь ему приглашается внешний консультант. На этом этапе чрезвычайно важен свежий, общий взгляд на организацию, его цели, активы, экспозиции ценностей, находящихся под риском.

Например, в письменной стратегии, принятой американской компанией «Дженерал миллз», записано, что действия отдела риск-менеджмента опираются на философию компании в области защиты от риска страхования. Эта философия в самом общем виде формулируется так:

1) уничтожить или снизить до практически приемлемого уровня условия и виды деятельности, которые ведут к расходам на страхование рисков;

2) в тех случаях, когда риск не может быть элиминирован или снижен до неугрожающего и управляемого уровня, должна покупаться коммерческая страховка, покрывающая катастрофические потери. Прочие риски должны либо сознательно приниматься, либо страховаться исходя из здравого смысла или расчетов, на основе принципа максимальной защиты генеральных интересов всей компании. К прочим относятся риски, которые проанализированы и оценены как неспособные нанести крупный ущерб операционным или финансовым позициям компании.

Однако в любом случае всякий риск для «Дженерал миллз», который дешевле принять, чем платить страховые премии, следует принять на себя.

В сферу ответственности отдела риск-менеджмента входит следующая работа по внедрению сформулированной выше политики:

1) помощь всем подразделениям и филиалам в проектировании, приобретении и поддержании в рабочем состоянии программ защиты от огня и предотвращения потерь;

2) экспертиза новых инвестиционных проектов с целью внесения в них мер по защите от риска и снижения необходимой страховки, а также инспекция стройплощадок и готовых помещений;

3) разработка полисов страхового покрытия и поддержание их в состоянии, адекватном генеральным интересам компании;

4) участие во всех переговорах о страховании с целью гарантировать согласованность всех страховок, приобретаемых компанией, и их соответствие настоящей стратегии;

5) изучение зарубежных страховых программ;

6) изучение и визирование страховых пунктов всех контрактов компании до их окончательного подписания;

7) уточнение потерь и претензий и составление соответствующих отчетов;

8) оказание помощи учетным и всем другим департаментам компании в определении страхуемых ценностей;

9) административное управление дочерними страховыми компаниями.

При выполнении определенных выше обязанностей сотрудники всех подразделений и дочерних фирм компании должны помогать в сборе информации, идентификации и анализе рисков, а также в скоординированном внедрении мероприятий по управлению рисками.

Кроме того, имеются и другие предложения по данной структуре. Во-первых, крайне сложно представить себе эффективно работающую службу координации, которая будет передавать и «утрясать» с другими подразделениями целую гамму результатов работы упомянутых выше четырех групп (да даже и трех, если считать, что группа методического развития является обеспечивающей). Подразделения будут отвергать разработки, выполненные без их непосредственного участия. И тогда служба управления рисками будет вынуждена пытаться действовать через высшее руководство, у которого и других дел хватает. Во-вторых, зачем разрывать между двумя группами мониторинг и анализ риска от планирования антикризисных ситуаций? В-третьих, как это «группа управления в кризисных ситуациях» будет осуществлять свои функции? Через голову финансовых руководителей, руководителей дивизионов и других подразделений? Такая постановка лишь увеличит потери за счет организационных сбоев. По нашему мнению, обустройство функции управления рисками инвестиционной деятельности должно начинаться с распределения обязанностей по ее разработке и исполнению.

Таким образом, можно сделать следующие выводы и дать рекомендации:

1) создание службы риск-менеджмента желательно проводить в таком составе: информационно-аналитический отдел, включающий в себя подотдел оценки риска, подотдел перспективного развития; отдел планирования и управления рисками с подотделами превентивных мероприятий, самострахования, страхования; отдел контроля и мониторинга с подотделами контроля и мониторинга интегрального и остаточного рисков организации;

2) необходимо непосредственное подчинение службы риск-менеджмента первому руководителю субъекта инвестиционной деятельности;

3) служба управления рисками (служба риск-менеджмента) должна дополняться при дивизиональной и адаптивных организационных структурах группами риск-менеджеров – кураторов подразделений и группами методического обеспечения, которые производят необходимые расчеты или детальные исследования. Такая структура становится эффективнее потому, что внешние связи (служба управления рисками – подразделение организации) заменяются на фактически внутренние (непосредственное общение работников организации).

Данный текст является ознакомительным фрагментом.

Продолжение на ЛитРес

Политика управления рисками — РНПК

 ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ

 АО РНПК

ОГЛАВЛЕНИЕ

 

1.    ОБЩИЕ ПОЛОЖЕНИЯ.. 3

2.    ЦЕЛИ И ЗАДАЧИ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ ОБЩЕСТВА.. 3

3.    ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ.. 4

4.    КЛАССИФИКАЦИЯ РИСКОВ.. 5

5.    ЭЛЕМЕНТЫ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ.. 6

6.    ПРОЦЕССЫ УПРАВЛЕНИЯ РИСКАМИ. . 7

7.    ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ.. 8

8.    СТРУКТУРА НОРМАТИВНОЙ ДОКУМЕНТАЦИИ ПО УПРАВЛЕНИЮ РИСКАМИ.. 10

9.    ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.. 11

ПРИЛОЖЕНИЕ. ГЛОССАРИЙ.. 12

 

 

1.1. Политика управления рисками (далее Политика) Акционерного общества «Перестраховочная компания НПК») (далее Общество) определяет общие подходы к управлению рисками, возникающими в процессе достижения Обществом целей своей деятельности и, в том числе, выполнения функций, возложенных на него Законом Российской Федерации от 27.11.1992 № 4015-1 «Об организации страхового дела в Российской Федерации».

1.2. Политика определяет концепцию интегрированного управления рисками, включая цель и задачи, принципы управления рисками; классификацию рисков; элементы системы управления рисками, в том числе ключевые процессы и организационную структуру управления рисками.

1.3. Настоящая Политика разработана на основе международных стандартов и практик в области риск-менеджмента и соответствует требованиям российского законодательства.

1.4. Настоящая Политика обязательна к применению всеми структурными подразделениями Общества.

 

2.1. Деятельность по управлению рисками является неотъемлемой частью корпоративного управления, направленной на достижение стратегических целей Общества и выполнения функций, возложенных законодательством, обеспечение роста стоимости Общества при соблюдении баланса интересов всех заинтересованных сторон.

2.2. Деятельность по управлению рисками является систематической, интегрированной в стратегическое и оперативное управление на всех уровнях, охватывающих все подразделения и всех работников Общества при осуществлении ими своих функций в рамках любых бизнес-процессов.

2.3. Цель построения системы управления рисками Общества заключается в обеспечении эффективной деятельности Общества в условиях неопределенности. Ключевыми целями Общества в области управления рисками являются:

·         обеспечение устойчивого развития Общества в рамках реализации стратегии Общества;

·         обеспечение и защита интересов акционеров, кредиторов, клиентов Общества и иных лиц, с учетом того, что указанные лица заинтересованы в том, чтобы принимаемые Обществом риски не создавали угрозы для существования Общества;

·         своевременная адаптация Общества к изменениям во внешней и внутренней среде;

·         повышение эффективности стратегического планирования и управления капиталом с учетом уровня принимаемого риска, и, как следствие, увеличения рыночной стоимости Общества.

2.4. Цель управления рисками достигается посредством решения следующих основных задач:

·         разработка и реализация комплекса мер, направленных на снижение негативного влияния неопределенности на деятельность Общества до допустимых (приемлемых) уровней;

·         разработка и реализация комплекса мер, направленных на информационное и аналитическое обеспечение процессов принятия управленческих решений и планирования деятельности Общества;

·         обеспечение соответствия системы управления рисками Общества состоянию внутренней и внешней среды и ее адекватности организационной структуре, с учетом необходимой адаптации к изменениям во внешней и внутренней среде;

·         развитие риск-культуры в Обществе.

 

3.1. Система управления рисками Общества удовлетворяет следующим основным принципам:

3.1.1.  осведомленность о риске — процесс управления рисками затрагивает каждого сотрудника Общества. Принятие решений о проведении любой операции производится только после всестороннего анализа рисков, возникающих в результате такой операции, что предполагает предварительное проведение идентификации и оценки соответствующих рисков;

3. 1.2.  адресная ответственность — руководство Общество, руководители и работники структурных подразделений несут ответственность за управление рисками Общества в соответствии с предоставленными им полномочиями;

3.1.3.  интеграция в бизнес-процессы — управление рисками является неотъемлемой частью бизнес-процессов Общества, в том числе принятия управленческих решений, как на уровне стратегии, так и на операционном уровне;

3.1.4.  обеспечение «трех линий защиты» — управление рисками осуществляется на трех уровнях:

·         принятие рисков — на уровне владельцев рисков, непосредственно выполняющих бизнес-процессы и управляющих связанными с ними рисками;

·         управление рисками — на уровне подразделений, выполняющих методологические и контрольные функции по управлению рисками;

·         аудит — на уровне подразделения, осуществляющего независимую оценку системы управления рисками (внутренний аудит).

В случаях совмещения каких-либо из вышеуказанных «линий защиты» в рамках одной организационной единицы Обществом принимаются меры, направленные на предотвращение возможного конфликта интересов.

3.1.5.  совершенствование деятельности — Общество постоянно совершенствует систему управления рисками, включая информационно-техническое обеспечение, процедуры и методики с учетом изменений во внешней и внутренней среде, нововведений в мировой практике управления рисками;

3.1.6.  непрерывность и поступательность – управление рисками представляет собой постоянно функционирующий цикличный процесс, охватывающий все подразделения Общества;

3.1.7.  существенность и целесообразность — принятие решений о реагировании на риски осуществляется с учетом оценки эффективности принимаемых решений — исходя из уровня рисков и с учетом соотношения затрат и выгод от реализации мер реагирования на риски.

 

4.1. В деятельности Общества возникают различные виды рисков, реализация которых способна препятствовать достижению целей и выполнению функций Общества. Общество подвержено следующим основным типам рисков:

·         страховые риски;

·         финансовые (инвестиционные) риски;

·         нефинансовые риски.

4.2. Страховые риски — риски, непосредственно возникающие в процессе страхования:

·         риски премии и резервов – риски потерь или неблагоприятного изменения стоимости страховых обязательств вследствие неопределенности относительно времени наступления, частоты и тяжести страховых случаев, а также величины и времени осуществления окончательных выплат;

·         риск концентрации страхового портфеля – риск потерь или неблагоприятного изменения стоимости страховых обязательств, связанный с одновременным наступлением страховых событий в отношении ряда крупных индивидуальных застрахованных объектов и (или) рисков.

·         риск катастрофы – риск потерь или неблагоприятного изменения стоимости страховых обязательств, связанный с одновременным наступлением множества страховых событий в результате стихийных бедствий и (или) техногенных катастроф.

4.3. Финансовые риски – риски потерь, возникающие в результате неблагоприятных изменений в стоимости активов и обязательств Общества:

·         рыночные риски – риски потерь, связанные с изменением рыночных цен или волатильности цен от ожидаемых значений: валютный риск, риск акций, процентный риск, риск спрэда, риск стоимости недвижимости и т. д.;

·         кредитный риск – риск потерь, связанные с невыполнением контрагентами обязательств перед Обществом;

·         риск ликвидности – риск дополнительных потерь, возникающий при быстрой реализации активов в случае необходимости, связанный с недостаточной ликвидностью активов Общества;

·         риск концентрации – риск потерь, связанный с недостаточной диверсификацией активов и(или) обязательств Общества.

4.4. Нефинансовые риски – прочие риски, возникающие в результате деятельности Общества, в результате воздействие внешних и внутренних факторов:

·          операционный риск — риск потерь или иных негативных последствий вследствие нарушений бизнес-процессов, недостаточной эффективности бизнес-процессов и организационной структуры Общества, действий (бездействия) работников Общества, сбоев в работе или недостаточной функциональности ИТ-систем и прочих технологических систем, а также вследствие влияния внешних факторов, включая умышленней действия третьих лиц и т. д.

·         стратегический риск — риск недостижения целей деятельности, ненадлежащего выполнения функций Общества вследствие ошибок (недостатков) при принятии решений, определяющих стратегию Общества, или их несвоевременного принятия;

·         репутационный риск — риск возникновения у Общества убытков вследствие формирования негативного представления о финансовой устойчивости Общества, качестве оказываемых им услуг или характере деятельности в целом.

·         страновой/политический риск – риск наступления нежелательных последствий, способных принести ущерб интересам Общества, по причине изменения различных условий деятельности, в том числе экономических и политических, в Российской Федерации.

 

5.1. Для эффективного функционирования системы управления рисками Общество обеспечивает наличие следующих элементов системы управления рисками:

·         процессы управления рисками – Общество организует эффективные процессы по выявлению, анализу, оценке, контролю рисков и методов их управления, а также отчетности по рискам;

·         организационная структура системы управления рисками — Общество формирует структуру, обеспечивающую отсутствие конфликта интересов и независимость подразделений, осуществляющих анализ, оценку и контроль рисков от подразделений, совершающих операции, подверженные рискам;

·         методология управления рисками – Общество обеспечивает развитие единой системы методологического обеспечения и валидации для обеспечения точности оценок и надежности процессов управления;

·         риск-культура – Общество стремится обеспечить пронизывающее все уровни понимание, что управление рисками является всеобщей задачей и ответственностью;

·         ресурсы – Общество обеспечивает необходимые кадровые, материальные информационные ресурсы для эффективного функционирования системы управления рисками.

5.2. Необходимым условием эффективного функционирования системы управления рисками Общества является ее периодический пересмотр с учетом:

·         изменений во внутренней и внешней среде;

·         изменений в подходах Общества к управлению рисками, результатах соотнесения указанных подходов с передовой международной теорией и практикой в области управления рисками;

·         результатов мониторинга и независимой оценки системы управления рисками Общества.

 

6.1. Процесс управления рисками Общества является неотъемлемой частью системы управления компании, частью культуры и практики Общества. Общество стремится к соответствию процессов управления рисками текущему состоянию бизнес-процессов.

6.2. Система управления рисками функционирует на основе реализации повторяющегося цикла процесса управления рисками:

·         идентификация рисков;

·         оценка рисков;

·         реагирование на риски;

·         контроль рисков;

·         подготовка отчетности по рискам;

·         мониторинг.

6.3. Идентификация риска — процесс обнаружения, распознавания и описания рисков, включающее в себя распознавание источников риска, событий, их причин и возможных последствий. Общество разрабатывает политику и процедуры обеспечения идентификации, измерения и отчетности для всех существенных рисков.

6.4. Оценка рисков проводится по двум основным параметрам – вероятности их возникновения и степени потенциального ущерба. Оценка параметров риска может носить качественный или количественный характер. Общество стремится разрабатывать и применять преимущественно количественные методы оценки рисков.

6.5. Общество определяет допустимый уровень рисков на основе:

·         четко сформулированных параметров и критериев аппетита к риску Общества —   совокупного уровня рисков, который готово принять Общество с учетом вероятности возникновения возможных убытков, ведущих к потере финансовой устойчивости Общества;

·         показателей совокупного риска Общества, полученного путем агрегирования рисков – требования к достаточности капитала;

·         процедур распределения совокупного риска между различными видами риска.

6.6. Реагирование на риски предполагает сравнение уровней рисков, полученных в результате оценки рисков, с допустимым (приемлемым) уровнем, их приоритизацию (ранжирование) c последующим принятием на данной основе решения о способе, мерах реагирования на риски и необходимых контрольных процедурах. Основными методами реагирования на риск являются:

·         принятие риска;

·         увеличение риска для использования благоприятной возможности;

·         ограничение (минимизация) риска;

·         перенос (передача) риска;

·         отказ (уклонение) от риска.

6.7. Одновременно с принятием решений о мерах воздействия на риск осуществляется разработка контрольных процедур, обеспечивающих надлежащее исполнение запланированных мер и (или) анализ их эффективности, а также методов мониторинга за их исполнением и необходимым форм отчетности.

6.8. В отношении рисков, реализация которых способна вызвать нарушения критически важных бизнес-процессов Общества, реализуется комплекс мер по обеспечению непрерывности деятельности.

6.9. Неотъемлемой частью всего цикла управления рисками Общества являются коммуникации и консультации.

6.10.            Деятельность по риск-менеджменту является прослеживаемой. Результаты выполнения процессов управления рисками Общества фиксируются документально.

 

7.1. Органы управления, подразделения и сотрудники Общества, участвующие в процессе управлении рисками:

·         Наблюдательный совет;

·         Комитет по рискам Наблюдательного совета;

·         Совет по перестрахованию;

·         Правление;

·         Президент-Председатель Правления;

·         Комитет по рискам Общества;

·         Управление актуарных расчетов и риск-менеджмента;

·         Внутренний аудитор;

·         Структурные подразделения Общества.

7.2. Наблюдательный Совет Общества:

·         определяет приоритетные направления деятельности Общества в области страховых, финансовых и нефинансовых рисков;

·         создает условия для формирования системы управления рисками и осуществляет общий контроль ее эффективности;

·         устанавливает параметры аппетита к риску Общества;

·         утверждает Политику управления рисками;

·         утверждает Положение об оценке страховых рисков и управлении страховыми рисками Общества;

7. 3. Комитет по рискам Наблюдательного совета вырабатывает рекомендации по стратегии управления рисками и капиталом Общества, а также по порядку управления наиболее значимыми для Общества страховыми, финансовыми и нефинансовыми рисками, а также иные, связанные полномочия, в соответствии с Положением о Комитете по рискам Наблюдательного совета Общества.

7.4. Совет по перестрахованию предварительно рассматривает Положение об оценке страховых рисков и управлении страховыми рисками Общества.

7.5. Правление

·         рассматривает и утверждает внутренние регламентирующие документы Общества в области риск-менеджмента;

·         принимает решения по организации и совершенствованию системы управления рисками;

7.6. Президент-Председатель Правления осуществляет общее руководство процессом управления рисками и несет ответственность за эффективность процесса управления рисками Общества.

7.7. Комитет по рискам Общества:

·         регулярно рассматривает вопросы управления рисками Общества и ее развития;

·         регулярно рассматривает отчетность по рискам Общества;

·         готовит рекомендации и проекты решений по вопросам управления рисками;

·         рассматривает и готовит проекты регламентирующих документов системы управления рисками;

·         осуществляет надзор за деятельностью подразделений в рамках системы управления рисками.

7.8. Управление актуарных расчетов и риск-менеджмента координирует процесс управления рисками в части:

·         разработки политики управления рисками Общества;

·         разработки или участия в разработке стратегических, методологических и организационных документов, связанных с управлением рисками в Обществе;

·         организации процесса идентификация, оценки и мониторинга рисков;

·         разработки предложений и рекомендаций по минимизации рисков;

·         подготовки отчетности по рискам;

·         подготовка сводной информации о процессе управления рисками;

·         контроль за своевременным исполнением своих обязанностей участниками процесса управления рисками.

7.9. В компетенцию внутреннего аудитора входит оценка эффективности управления рисками, основанном на суждении по итогам оценки следующих категорий: цели Общества соответствуют его миссии; существенные риски выявляются и оцениваются; выбираются такие меры реагирования на риски, которые позволяют удерживать риски в рамках аппетита к риску Общества.

 

7.10.            Другие структурные подразделения участвуют в процессе управления рисками в рамках своей компетенции, определенной положениями о подразделениях и иными внутренними документами Общества, в том числе:

·         предоставляют Управлению актуарных расчетов и риск-менеджмента информацию, необходимую для осуществления ими своих функций в области управления рисками;

·         выполняют решения органов управления Общества по управлению рисками;

·         несут ответственность за эффективное управление рисками, присущим процессам в зоне ответственности подразделения;

·         несут ответственность за выявление и контроль уровня операционного риска в зоне ответственности подразделения.

 

8.1. Нормативная документация по управления рисками Общества включена в Кодекс по Управлению рисками (далее – Кодекс). Кодекс представляет собой развивающийся документ, пополняемый по мере формализации бизнес-процессов Общества, и как следствие практик по управлению связанных с ними рисков.

8.2. Кодекс по управлению рисками Общества является иерархическим документом и должен состоять, как минимум, из следующих компонент:

·         Политика управления рисками — документ верхнего уровня, описывающий принципы и требования к системе управления рисками;

·         Декларация об аппетите к риску — документ верхнего уровня, формулирующий подход Общества к определению совокупного уровня допустимого риска;

·         Методология управления рисками — документ верхнего уровня, содержащий описание общих методологических принципов, методов и инструментов, применяемых Обществом для управления рисками, требований к подчиненным документам.

·         Положение о выявлении и оценке рисков — подчиненный документ, содержащий требования к процессам по выявлению и оценке рисков, периодичности, форматам представления информации и т.д.

·         Положения по управлению отдельными рисками – подчиненные документы, содержащие описание показателей рисков, методики оценки уровня рисков, процессы принятия решений по реагированию на риск, требования к процедурам контроля рисков, формату и содержанию отчетности по рискам и т. д.

·         Положение о проведении оценки достаточности капитала – подчиненный документ, описывающий методологию, предположения, модели, данные, процессы расчета собственного капитала и его аллокации на отдельные виды деятельности.

·         Положения по обеспечению непрерывности деятельности по критичным рискам – подчиненные документы, содержащие описание критически важных бизнес-процессов; перечень возможных чрезвычайных ситуаций, несущих критический риск для Общества; порядок выявления и проведения анализа факторов возникновения чрезвычайных ситуаций, которые способны привести к приостановлению критически важных процессов; перечень мероприятий, направленных на минимизацию вероятности наступления и возможных последствий данных событий, а также мер реагирования в случае их наступления.

·         Регламент отчетности по рискам — подчиненный документ, содержащий перечень отчетов по рискам, срок предоставления и процессы их формирования.

·         Реестр рисков – рабочий документ, содержащий текущий перечень рисков, воздействию которых подвержено Общество, с указанием всех атрибутов рисков.

8.3. Упомянутые выше компоненты могут иметь, в свою очередь, свои подчинённые документы (методики, регламенты и т.д.).

 

Настоящая Политика утверждается Наблюдательным советом Общества и подлежит пересмотру по мере изменения требований регулирующих органов государственной власти и появления новых эффективных методов и инструментов управления рисками в соответствии с лучшей международной практикой.

 

Бизнес-процесс. Совокупность взаимосвязанных последовательных действий, выполняемых структурными подразделениями Общества и направленных на обеспечение функций и целей деятельности Общества.

Валидация. В области управления рисками Общества данный термин может применяться в следующих значениях:

  • валидация данных – процесс анализа данных о рисках или риск-событиях на предмет их полноты и адекватности на агрегированной основе;
  • валидация моделей оценки рисков – процесс независимого тестирования и оценки применяемых в Обществе моделей оценки рисков для подтверждения их заявленных характеристик и соответствия данных моделей целям их разработки и применения.

Верификация. Процесс последующей проверки полноты и корректности данных в отношении конкретного риска Общества или риск-события.

Вероятность. Возможность реализации риска. Вероятность может быть оценена количественно (в т.ч. в процентах, с указанием частоты реализации риска) или качественно.

Владелец риска. Руководство, коллегиальный орган, структурное подразделение, уполномоченный работник Общества, которые в соответствии с нормативными и иными актами Общества наделены полномочиями и несут ответственность за управление риском Общества.

Внешняя среда. Совокупность внешних условий (экономических, правовых, рыночных, социокультурных, политических и других), в которых Общество стремится достичь целей своей деятельности и выполнить свои функции.

Внутренняя среда. Совокупность внутренних условий (целей, стратегий, организационной структуры, процессов принятия решений, внутренних взаимосвязей, ИТ-систем и других), направленных на обеспечение достижения Обществом целей своей деятельности и выполнения функций.

Воздействие. Степень влияния реализации риска на достижение целей деятельности и выполнение функций Общества. Воздействие может быть оценено по различным негативным последствиям для Общества, которые могут возникнуть вследствие реализации риска.

Допустимый (приемлемый) уровень риска. Уровень риска, который Общество готово принимать на себя, обеспечивая достижение целей своей деятельности и выполнение своих функций.

Заинтересованная сторона. Руководство, коллегиальные органы, структурные подразделения, уполномоченные работники Общества, а также внешние организации и лица, которые могут оказывать влияние или подвергаться воздействию рисков Общества.

Идентификация рисков. Процесс выявления, составления перечня и описания рисков Общества.

Карта рисков. Способ визуального представления профиля рисков Общества, позволяющий осуществить их приоритизацию (ранжирование). Как правило, это двухмерное представление рисков в матрице (5×5, 4×4 или др. ), где на одной оси показано воздействие, а на другой – вероятность.

Коммуникации и консультации. Процесс фиксирования и обмена информацией между субъектами управления рисками Общества в ходе выполнения процессов управления рисками.

Критерии риска. Критерии, по которым осуществляется оценка риска и его сравнение с допустимым (приемлемым) уровнем.

В качестве критериев риска могут применяться вероятность, воздействие, скорость активации риск-события, уязвимость и другие критерии, выбор которых осуществляется с учетом внешней и внутренней среды и требований законодательства, нормативных и иных актов Общества.

Критически важные бизнес-процессы. Бизнес-процессы финансовой организации, приостановление которых влечет нарушение нормального осуществления деятельности финансовой организации, ее контрагентов и (или) ее клиентов, в том числе создает угрозу полной утраты их жизнеспособности.

Методология управления рисками. Совокупность методов, способов и инструментов, применяемых для управления рисками Общества.

Модель оценки риска. Экономико-математическая модель, включающая описание методов оценки, допущений, условий и ограничений ее применения, позволяющая оценивать и прогнозировать характеристики моделируемого риска.

Мониторинг рисков. Процесс наблюдения за рисками Общества, в том числе за их уровнем, его соответствием допустимому (приемлемому) уровню, внедрением мер реагирования на риски и контрольных процедур, эффективностью данных мер и процедур, а также анализа внешней среды.

Мониторинг системы управления рисками. Наблюдение за функционированием системы управления рисками Общества с целью получения информации о наличии и порядке применения установленных в Обществе методов и процедур управления рисками.

Неопределенность. Неспособность точно знать что-либо заранее в условиях отсутствия или недостатка информации.

Непрерывность деятельности. Способность Общества планировать и применять меры, направленные на обеспечение бесперебойного функционирования (эффективного восстановления) ключевых бизнес-процессов Общества.

Объект риска. Бизнес-процесс Общества, материальный или нематериальный актив Общества, подверженный риску.

Ограничение (снижение уровня, минимизация) риска. Способ реагирования на риск, при котором реализуются меры по снижению вероятности и (или) воздействия риска Общества с целью приведения его уровня в соответствие с допустимым (приемлемым) уровнем.

Описание рисков. Структурированное представление элементов рисков Общества.

Остаточный риск. Риск Общества с учетом существующих мер реагирования на него и контрольных процедур.

Организационная структура управления рисками. Совокупность используемых в Обществе подходов к организации управления рисками (модели управления рисками), субъектов управления рисками, их полномочий и взаимосвязей между ними.

Отчетность о рисках. Структурированная форма предоставления внутренним или внешним пользователям Общества информации о рисках Общества и управлении ими.

Оценка риска. Процесс определения уровня риска Общества с использованием установленных в Обществе критериев риска.

Перенос (передача) риска. Способ реагирования на риск Общества, при котором принимается решение о передаче всех или части последствий реализации риска на стороннюю организацию (лицо). Основными формами переноса (передачи) риска Общества являются перестрахование и хеджирование.

Пересмотр системы управления рисками. Процесс оценки эффективности системы управления рисками Общества, в том числе используемых подходов и методологии управления рисками Общества, с внесением в нее изменений (при необходимости).

Подверженность риску. Возможность реализации риска Общества в отношении конкретного объекта риска Общества.

Последствие. Следствие наступления риск-события.

Принятие риска. Способ реагирования на риск Общества, при котором принимается решение о сохранении риска на существующем уровне и продолжении мониторинга риска.

Приоритизация (ранжирование) рисков. Процесс определения наиболее значимых рисков Общества с учетом их уровня.

Присущий риск. Риск Общества до мер реагирования на него и контрольных процедур.

Причина. Явление, действие, непосредственно приводящие к реализации риска Общества.

Профиль рисков. Совокупность рисков, присущих Обществу, структурному подразделению Общества, конкретной функции/ направлению деятельности, бизнес-процессу Общества.

Процесс управления рисками. Последовательность действий, осуществляемых в рамках деятельности по управлению рисками Общества.

Реагирование на риск. Процесс принятия решения о работе с риском Общества. Способы реагирования: ограничение (снижение уровня, минимизация) риска, перенос (передача) риска, финансирование риска, уклонение от риска (избегание риска), принятие риска. Меры реагирования – конкретные действия в рамках реализации указанных способов реагирования на риск.

Реестр рисков. Структурированный перечень данных об идентифицированных рисках Общества.

Риск. Возможность негативного влияния неопределенности на достижение целей деятельности и выполнение функций Общества.

Аппетит к риску. Количественный и (или) качественный показатель, определяющий допустимый (приемлемый) уровень риска Общества.

Аппетит к риску может быть различным для разных видов рисков Общества, функций/направлений деятельности и бизнес-процессов Общества и может изменяться при изменениях во внутренней и внешней среде.

Риск-культура. Совокупность ценностей, убеждений, пониманий, знаний, норм поведения и практик в отношении рисков Общества и управления ими, разделяемых и принимаемых всеми работниками Общества.

Риск-метрика. Показатель, характеризующий уровень риска Общества.

Риск-событие. Событие, которое привело, могло привести или может привести в будущем к негативным последствиям для достижения целей деятельности и выполнения функций Общества. Риск-событие также может привести к возникновению новой неопределенности.

Риск-фактор (источник риска). Деятельность, явление, обстоятельство, которое самостоятельно или в комбинации с другими имеет внутренний потенциал к возникновению или повышению уровня риска Общества.

Система управления рисками. Совокупность взаимосвязанных элементов, обеспечивающих реализацию целей, задач и принципов управления рисками Общества.

Скорость активации события. Время с момента наступления риск-события до момента, когда Общество начинает ощущать его последствия.

Субъекты управления рисками. Руководство Общества, коллегиальные органы, структурные подразделения Общества и их работники, осуществляющие управление рисками Общества в соответствии с полномочиями, определенными федеральными законами, нормативными и иными актами Общества.

Таксономия рисков. Категоризация, обеспечивающая системный подход к анализу данных о рисках Общества посредством определения применяемых в Обществе видов (групп) риск-событий, причин и последствий реализации рисков, других категорий.

Угроза (опасность). Источник потенциального вреда.

Уклонение от риска (избегание риска). Способ реагирования на риск Общества, при котором принимается решение отказаться от деятельности, сопряженной с риском.

Управление рисками. Системный процесс разработки, применения и пересмотра политик, методов, способов и инструментов идентификации, оценки рисков, реагирования на риски и мониторинга рисков Общества в целях достижения целей деятельности и выполнения функций Общества.

Уровень риска. Величина риска Общества, определенная с использованием критериев риска в порядке, установленном нормативными и иными актами Общества.

Финансирование риска. Способ реагирования на риск Общества, при котором принимается решение о создании провизий под активы (условные обязательства) Общества или провизий на покрытие иных потерь.

Частота. Количество случаев наступления событий за определенную единицу времени. Может применяться при разработке и использовании шкалы оценки риска.

Шкала оценки риска. Способ определения оценок по различным критериям риска (как правило, вероятности и воздействия), предусматривающий выбор оценки с использованием установленных градаций оценок и соответствующих им описаний.

Элементы риска. Риск-факторы (источники риска), риск-события, причины и последствия.

Эскалация. Процесс вынесения вопросов, касающихся управления рисками Общества, на рассмотрение руководству Общества, коллегиальным органам, уполномоченным работникам Общества, обладающим необходимыми полномочиями и компетенцией для принятия решения.

Тестирование, основанное на рисках / Блог компании SimbirSoft / Хабр

Для обеспечения качества информационного продукта в медицине, страховании, банкинге и других отраслях, наряду с другими методами тестирования, важно использовать тестирование, основанное на рисках. Для проверки выбирают самые рискованные области создаваемого программного обеспечения. Это позволяет предусмотреть негативные сценарии и успешно реализовать бизнес-цели заказчика.

В статье расскажем, как мы в компании SimbirSoft работали с рисками (на примере системы интернет-эквайринга и других проектов) и какие методики оценки и управления рисками мы используем в проектах заказчиков.

Риски на старте проекта


Для начала приведем пример из нашей практики в разработке для банковского сектора.

Предложение заказчика: сделать акцент на веб-версии банка для физических лиц.

Выявленный нами риск: возможная потеря аудитории из-за низкого спроса веб-версии у физических лиц, в отличие от мобильного клиент-банка.

Наши аргументы: статистика предпочтений пользователей на основе отзывов и распределения аудитории по мобильной и веб-версии.

Выводы: физическим лицам более удобна мобильная версия, так как телефон всегда под рукой. Операции совершаются быстро, система авторизации позволяет получить доступ ко всем удобным услугам. В этом случае важен быстрый доступ к ограниченному набору самых популярных функций.

Юридическим лицам важна полнота предоставляемых функций, возможность выгрузки, распечатки и работа с большим объемом информации. Для этого более удобна веб-версия.

Наше решение: сделать акцент на мобильном клиент-банке для физических лиц.
В начале работы с проектом важно правильно выбрать стратегию тестирования. Рассмотрим на примерах, почему она важна и как ее выбирать.

Стратегия тестирования должна отвечать бизнес-целям


Рано или поздно все компании сталкиваются с необходимостью организовать процесс тестирования и приходят к пониманию, что выстраивание его стратегии — важный этап разработки ПО. Порой — через собственный горький опыт. Особенно опасно недооценивать роль тестирования и подбора стратегии при разработке масштабных проектов. Процесс тестирования должен подбираться под бизнес-цели и специфику проекта, иначе не приведет к положительным результатам ни через месяц, ни через год.

Например, рассмотрим тестирование мобильного и веб-приложения для банка. На старте проекта мы подобрали стратегию, основанную на требованиях с невысоким уровнем детализации. Мы использовали чек-листы, чтобы сократить время на тестирование и поддержку тестового базиса. По мере роста функциональности, добавления эквайринга, sms-авторизации и оповещения, более сложных систем чек-листы уже не справлялись со своей задачей. Со временем в команду подключалось все больше QA-специалистов, нужно было передавать информацию и координировать их действия. С усложнением продукта любое изменение могло повлиять на смежные функции, то есть возрастал риск регрессии. Назревала необходимость автоматизации регрессионных тестов, поэтому мы переключились на тест-кейсы.

Вывод: в зависимости от проекта, его специфики или этапа разработки стратегия тестирования меняется.

Стратегию нужно подбирать под цели проекта, чтобы наилучшим способом обеспечить качество выпускаемого продукта. Она отвечает на вопросы «что», «где» и «когда» будет тестироваться. В любой момент времени вы знаете, в какой точке находитесь и куда придете в дальнейшем — согласно стратегии.

Бизнес-целью может быть обеспечение безопасности данных заказчика, а также самого ПО на этапе продакшена. Безопасность начинается с процесса разработки и продолжается на этапе тестирования.

Например, на одном из проектов мы создали безопасную среду для разработки и тестирования, разворачивали инфраструктуру, которая соответствовала всем требованиям и помогала защитить данные. Запрашивали сертифицированные токены и именные флешки для каждого QA-специалиста для доступа к тестовой инфраструктуре. Так мы обеспечивали бизнес-цель проекта в безопасности ПО и сохраняли конфиденциальность данных клиента и пользователя.

За счет стратегии тестирования можно сделать акцент на действительно важных аспектах для конкретного проекта. Логично, что выпуск мобильной игры или сложной банковской CRM-системы требует разных подходов к тестированию.

Стратегия тестирования в банковской сфере


Мы в компании SimbirSoft в своей практике применяли весь спектр методологий разработки, но приоритетными для нас всегда остаются гибкие технологии. И даже там, где по ряду причин нет возможности их использовать, команда берет на вооружение лучшие практики и применяет их в повседневной работе. Тестирование становится органичной частью всего процесса и вливается в общий воркфлоу. В этом случае оно отвечает не только за качество продукта, но даже за качество всего процесса работы.

Какие технологии мы используем:

  • гибкое планирование и подготовка внутренних релизов;
  • подготовка user story;
  • проведение статус-митингов;
  • проведение ретроспектив.

В полную силу стратегия тестирования раскрывает себя в проектах со сложной бизнес-логикой. Например, ПО для информационного обеспечения банков, построение системы интернет-эквайринга, автоматизированная торговая площадка. В таких проектах важно применять подходящую стратегию тестирования, так как цена некоторых ошибок может привести к реальным убыткам и сильно повлиять на репутацию компании в худшую сторону.

Также к основным целям тестирования — поиск дефектов и проверка ПО на соответствие требованиям — могут добавляться дополнительные. Например, банкам важно быстро внедрять новые требования Центробанка. Это значит, что к основной цели добавится своевременное выполнение тестирования с требуемым качеством для критичных задач.

Недавно в проекте банковской сферы мы столкнулись с изменением в федеральном законодательстве — повышением ставки НДС с 18% до 20%. Для адаптации под изменение законодательства была проделана предварительная большая работа, так как изменение касалось не только замены форм, интерфейсов, но и переделки логики нескольких формул расчета. Необходимо было обеспечить правильное отображение на многих платформах. Также в функции отложенного платежа нужно было учесть переходный период со ставками 18% и 20%.

Теперь расскажем более подробно о том, как мы выстраиваем стратегию и почему часто выбираем тестирование на основе рисков.

Плюсы тестирования на основе рисков


Существует несколько стратегий тестирования, которые выбираются под определенные цели:
  • основанные на требованиях;
  • методические;
  • реактивные стратегии;
  • консультативные стратегии.

В случае работы с проектами со сложной бизнес-логикой нужно определить жесткие требования при проектировании систем, на которых в дальнейшем строится тестирование. Подходящий инструмент — это тестирование, основанное на требованиях.

Один из видов стратегии, основанной на требованиях — тестирование на основе рисков. При этом в первую очередь тестируются те части функциональности системы, которые наиболее подвержены рискам. Риск — это возможное негативное последствие неправильной работы системы. Последствие является риском при наличии двух составляющих, таких как возможность и негативность.

Риски бывают двух типов:

1. Риск продукта

Он может быть управляемым и неуправляемым. В примере выше мы столкнулись с управляемым риском: быстрый рост и усложнение функциональности, в связи с чем повышалась вероятность регрессии. Здесь мы решали проблему наличием понятной тестовой базы и последующей автоматизацией. Тот риск, на который мы не можем повлиять — зависимость от внешних систем и их отказ в процессе интеграции. Здесь мы закладываем мероприятия, которые позволят снизить их влияние на нашу систему. Например, использование резервного копирования, обработка исключительных случаев, вывод предупреждений для пользователя.

2. Риск проекта

Например, на проекте мы столкнулись с тем, что заказчик раньше не работал с распределенной командой, в связи с чем используемый воркфлоу не отвечал требованиям и создавал дополнительные коммуникационные проблемы: отсутствие понимания, дублирование задач, выполнение взаимоисключающих задач и так далее. Мы договорились о перестройке и улучшении процесса — переработали воркфлоу, познакомили всех членов команды, провели митинги, презентации и ретроспективы. В итоге работа пошла в нужном русле.

Risk-based подход позволяет составить некое количество рисков, за короткий срок протестировать риски с высоким приоритетом и дальше предоставлять заказчику метрики, насколько качественно их протестировали, показывая количество запланированных и пройденных кейсов и количество дефектов.

Имплементация risk-based подхода на проекте проходит в четыре этапа:

Risk Identification — на этом этапе нужно проидентифицировать риски и получить их список.
Risk Assessment — здесь мы анализируем список и классифицируем его по приоритетности.
Risk Mitigation — на этом этапе определяем, как глубоко будем тестировать риски.
Risk Management — здесь решаем, как дальше будем работать с ними и проходить их, идентифицировать новые риски.

Риски выявляются и оцениваются группой заинтересованных сторон в ходе сессий мозговых штурмов. В команду должны входить бизнес-аналитики или носители знаний о системе от заказчика, разработчики, менеджер или руководитель проекта, архитекторы, QA-специалисты. К выявлению и оценке рисков мы привлекаем в том числе специалистов по информационной безопасности, сотрудников, которые непосредственно работают с текущей системой, бизнес-аналитика, который погружен в процессы.

Рассмотрим risk-based подход на примере тестирования системы интернет-эквайринга.

Работа с рисками (на примере системы интернет-эквайринга)


Выделим следующие требования:
D1.Обеспечение 1000 одновременных подключений к системе в секунду.
D2. Безопасность совершения транзакций.
D3. Доступ к транзакции должен быть только у лица, совершающего транзакции.
D4. Обеспечение и поддержка стандарта SET (Secure Electronic Transaction).

В качестве риска продукта мы можем выделить:
RP1. Падение системы при одновременных подключениях.
RP2. Использование SQL инъекций в процессе совершения транзакции.
RP3. Доступ к чужой транзакции при смене параметров в URL.
RP4. Потеря данных при обрыве связи с банком в момент совершения транзакции.
RP5. Использование недействующих сертификатов при обеспечении системы SET (Secure Electronic Transaction).

В качестве организационных рисков:
RO1. Падение разрабатываемой системы из-за недоступности внешних систем.
RO2. Наличие трудно воспроизводимых кейсов, которые не могут быть обнаружены в тестовой среде.

Таким образом, каждый риск логически вытекает из требований, которые есть в системе, но не ограничивается ими. Риски дополняют требования и выявляют дополнительные кейсы, которые могут возникнуть при работе с системой.

Риски могут быть снижены или компенсированы в зависимости от целей проекта и требований к системе. Принимается условие, чтобы риск был покрыт тест-кейсом хотя бы один раз:

1. На каждый продуктовый риск подготавливается набор тест-кейсов RP1-RP4 с условием, что каждое требование и каждый риск должен быть покрыт хотя бы одним тест-кейсом. В зависимости от целей тестирования происходит расширение набора тест-кейсов до определенного уровня детализации.

2. На каждый организационный риск подготавливается список мероприятий, которые могут снизить влияние риска на разрабатываемый продукт.

Методики оценки и управления рисками


Существует несколько методик оценки и управления рисками: легковесные методы (PRAM, PRISMA) и более формальные (FMEA, FTA).

При модели FMEA команда проекта выявляет все процессы, компоненты, модули системы, в которых может произойти отказ системы или ошибка, способные привести к ухудшению качества продукта. В ходе брейншторма определяются риски системы по трем показателям: серьезность, приоритетность, вероятность. Затем просчитывается Risk Priority Number для каждого риска и в зависимости от показателей закладывается глубина тестирования.

При модели FTA поэтапно определяются все причины, которые могут привести к дефектам в бизнес-процессах системы. Анализ проходит от самого высокого до самого низкого уровня. Разница между FMEA и FTA в том, что первый подход сосредоточен на функциональности системы, а второй — на бизнес-процессах.

Помимо этих формальных и тяжеловесных подходов существуют более гибкие и неформальные. Например, методы PRAM (Прагматический анализ и управление рисками) и PRISMA (Управление рисками продукта). Они успешно и легко комбинируют стратегии, основанные на риске и требованиях. В основном в этих подходах используют спецификации требований в качестве входных данных, но в процессе могут участвовать и заинтересованные стороны.

Легковесные методы анализа рисков очень похожи на формальные. Они делают упор на технические или коммерческие риски, взвешивая вероятность возникновения риска и факторы, влияющие на эту вероятность.

Однако, единственные два фактора, используемые этими методами — это вероятность риска и его влияние. Кроме того, в этих подходах применяют упрощенные качественные суждения и шкалы для принятия решения.

Наши команды используют гибкие легковесные методы и адаптируют подходы PRAM и PRISMA под свои цели.

Как мы работаем с тестированием на основе рисков


Например, на одном из проектов мы определяем проектные и продуктовые риски, которые могут сработать. Для этого в анализе участвуют аналитики, разработчики и QA — по одному представителю от команды.

Формируется таблица рисков с продуктами. По ним определяется оценка вероятности срабатывания риска и его возможного влияния на систему по пятибалльной шкале. В таблице 1 — самое сильное влияние, 5 — самое слабое. Также и для вероятности 1 — большая вероятность, 5 — небольшая вероятность.

Как мы дальше работаем с рисками продукта


Далее по каждому из них происходит трассировка покрытия риска продукта тест-кейсами.

Выбираем следующие проверки:

TC1. Проверка нагрузки при наличии более 1000 подключений к системе
ТС2. Проверка нагрузки при 1000 подключений к системе
ТС3. Ввод SQL-инъекции во время совершения транзакции
ТС4. Ввод SQL-инъекции на странице успешной транзакции, путем подстановки других данных
ТС5. Ввод XSS (Cross-Site Scripting) скриптов в доступные поля для ввода при совершении транзакции
ТС6. Имитация разрыва связи с интернетом в процессе транзакции
ТС7. Выход из сеанса транзакции на этапе подтверждения
ТС8. Проверка просроченных сертификатов при совершении транзакции

Таким образом, приоритетные проверки — это TC2, ТС4, ТС5.

ТС6 и ТС8 имеют высокое влияние, но меньшую вероятность, поэтому приоритет проверки по ним ниже, но проверки тоже обязательны.

ТС7 не относится ни к одному из требований, но расширяет проверку на негативный сценарий, который возможен при стабильной работе системы.

Как мы дальше работаем с рисками проекта


Также определяем действия для проектных рисков, по которым назначаем дополнительные мероприятия и решения.

По риску «RO2. Наличие трудновоспроизводимых кейсов, которые не могут быть обнаружены в тестовой среде» можно предпринять следующее:

  • подготовить стенд «предпродакшн», который максимально приближен к реальной среде приложения, в связке со всеми внешними системами;
  • написать сценарии end-to-end тестирования, которые проходят сквозь все смежные системы и обеспечивают проверку транзакции;
  • после проведения всех приоритетных проверок использовать техники error guessing по основным требованиям системы и сценарии дополнительных проверок в роли «взломщика системы».

Запасной план


Важно иметь план действий на тот случай, если один из продуктовых или проектных рисков сработает. Иногда может спасти настройка системы резервного копирования проекта. Не всегда можно снизить риск до минимального уровня, но должна быть возможность уменьшить хотя бы его последствия. На эту тему был наш пост «Рождественская история»: как может сработать риск, вероятность которого стремится к нулю.

Например, мы должны полностью исключить потерю данных во время транзакции, но учесть все случаи слишком трудозатратно. Поэтому нужно иметь способы обработки таких случаев. Один из вариантов подстраховки — разработка более подробного логирования. Это обеспечит постоянную точку отката к предыдущему действию, если в процессе совершения транзакции что-то пошло не так.

Заключение


Тестирование на основе рисков позволяет покрывать наиболее рискованные области тест-кейсами, тем самым снижая их влияние и вероятность срабатывания. Это наиболее выигрышная стратегия для систем со сложной бизнес-логикой и высокой ценой ошибки. Решение подходит для банковского сектора, страховых компаний, сложных внутренних CRM-систем медицинского профиля. При risk-based подходе мы также работаем с проектными рисками, благодаря чему совершенствуется общий процесс тестирования и управления проектом.

Риски ИТ проекта. Основные риски проекта

Содержание:

1. Возможные риски проекта

2. Уровни риска проекта и превентивные мероприятия

3. Влияние риска на проект

 

В данной статье разберем процессы управления рисками IT-проекта. Ответим на вопросы:

·         Что такое управление рисками с точки зрения проектной технологии?

·         Какие сейчас востребованы методы управления рисками IT-проектов?

·         Что можно улучшить в сфере управления рисками IT-проектов?

Риск – неопределенное событие или множество событий, которые в случае реализации окажут влияние на достижение целей. Рисковое событие – это всегда «возможность» и «угроза». 

1.     Возможные риски проекта


Управление рисками должно увеличить шансы на достижение целей проекта. В то же время риски для отказа проекта должны быть сведены к минимуму. 

Система управления профессиональными рисками — это непрерывный процесс, требующий постоянного анализа хода проекта, переоценки и адаптации политики управления рисками и планов реагирования. В упрощенном виде процесс управление риском на IT-проектах заключается в следующих действиях:

Обнаружение риска. Для этого используем наши проектные документы, проводим встречи с заинтересованными сторонами и экспертами, создаем контрольные списки возможных рисков проекта. Для IT-проектов типичными являются следующие риски:

a.      Неготовность топ-менеджмента Заказчика к изменениям в бизнес-процессах предприятия и организационной структуры;

b.      Незаинтересованность руководителей основных подразделений Заказчика и их прямых, подчиненных в проекте;

c.        Смена в ходе реализации проекта РП, Заказчика;

d.      Недостаточная квалификация РП и ответственных исполнителей Исполнителя;

e.       Текучесть кадров Исполнителя

f.        Отсутствие или нарушение методологии ведения IT-проекта;

g.      Риск неверного технического решения;

h.      Риск снижения производительности информационной системы;

i.        Ошибки календарного планирования;

j.        Изменение требований Заказчика

k.       Нарушение спецификаций (плана результатов) Исполнителем

l.        Низкая производительность Исполнителя (характерно для микро -команд)

Если руководитель проекта считает, что не все риски выделены, то можно использовать методы мозгового штурма или SWOT-анализ проекта.

Все риски фиксируются в Реестр рисков (см. Таблица 1). Вначале заполняя только колонку «Описание риска» и, возможно, «Последствия появления данной проблемы».

Таблица 1 — Пример реестр рисков по проекту внедрения 1С

 

 

2.     Уровни риска проекта и превентивные мероприятия

    

Анализируем каждый риск с позиций последствий для проекта и вероятности возникновения риска. Для оценки последствий можно воспользоваться инструментом РМВОК (см. Таблица 2)

Таблица 2 — Влияние оказываемое риском на характеристики проекта


По каждой из характеристик выбираем воздействие (жирный курсив в Таблица 2), далее считаем среднее арифметическое складывая все строки и получаем итоговую степень воздействия рисков на проект (5%+10%+20%+40%)/4 = 18,75% — т.е. среднее значение (15-30%).

Совместно с экспертами (командой проекта) по выявленным основным рискам проекта выставляем вероятность: очень высокая (90%), высокая (70), средняя (50%), низкая (30%), очень низкая (10%).

Далее сводим в общую таблицу вероятность и уровень влияния (см. Таблица 3)и заполняем колонки 4 и 5 Таблица 1

Таблица 3 — Матрица оценки риска


Уровень рисков проекта — если риск попадает в красную зону — обязательно вырабатываем противо-рисковое мероприятие (см. ниже). С желтыми рисками — на усмотрение команды проекта.

 

Планирование вариантов реагирования для управления риском в желаемом направлении – соответственно определяем приемлемую стратегию реагирования на риск (колонка 6 Таблица 1):

a.       Уклониться (полностью устранить угрозу)

b.      Передать (найти третью сторону, которая может управлять угрозой за нас)

c.       Снизить (уменьшить вероятность и/или силу воздействия угрозы)

d.      Принять (не предпринимать активных действий, но подготовить резервный план на случай возникновения угрозы)

e.        Использовать (сделать так, чтобы возможность точно реализовалась)

f.        Разделить (привлечь третью сторону в управление возможностью)

g.      Увеличить (увеличить вероятность и/или воздействие возможности)

h.      Принять (не предпринимать активных действий, но подготовить резервный план на случай возникновения возможности).

i.        Эскалация (обратитесь за помощью к руководству)

Соответственно на данном этапе заполняем в Реестре рисков колонки: Стратегия, Планы работ до и после наступления рискового события. Также назначаем ответственных за данные задачи. Еще имеет смысл запланированные превентивные мероприятия перенести отдельными пунктами в календарно-ресурсный план проекта с обозначением ответственных и потребных ресурсов.

Для рисков с высоким уровнем воздействия и высокой вероятностью нужно всегда планировать конкретные меры и сообщать их открыто команде проекта.  Также необходимо регулярно проверять, актуальны ли обозначенные в плане по управлению риском меры. 

3.     Влияние риска на проект


На стадии планирования управления рисками проекта у нас имеется Реестр рисков проекта, календарно-ресурсный план проекта с перечнем задач по управлению рисками проекта.

По ходу выполнения проекта осуществляем мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков, а также возможно перепланирование проекта.

В заключении можно сказать, что задачей управления рисками ИТ-проектов является своевременное определение факторов, связанных с внедрением информационной системы или системы автоматизации, которые могут негативно повлиять на реализацию проекта внедрения, а также оптимальное планирование действий по минимизации этих факторов.

 

Специалист компании ООО «Кодерлайн» 

Дмитрий Хисматуллин.

Что такое организационный риск? — Простое


отправлено Джоном Спейси, 25 ноября 2015 г.
Организационный риск — это потенциальные убытки из-за неопределенности. Это термин для обозначения риска на высшем уровне организации, который включает в себя существенные стратегические, репутационные, нормативные, юридические риски, риски безопасности и операционные риски.
Тип Риск
Определение Материальные риски для организации.
Примеры Неисправная продукция и риски ответственности.Регулирующие риски, такие как сомнительная экологическая практика. Уязвимости и угрозы системы безопасности. Финансовые риски, такие как неприемлемый уровень долга. Операционные риски, такие как склонные к сбоям процессы или устаревшее оборудование.
Обработка рисков AvoidReduceTransferAccept
Связанные концепции Репутационный риск Операционный риск Финансовый риск

Риски

Это полный список статей о рисках, которые мы написали.

Если вам понравилась эта страница, добавьте в закладки Simplicable.


Список общих бизнес-рисков.
Четыре вещи, которые можно сделать в отношении риска.
Список методов снижения риска.
Потенциал того, что вы достигнете слишком многого от хорошего.

Любой риск того, что у людей тоже будет сильное отвращение.


Удивительное сходство между риском и возможностью.


Разница между управлением рисками и планированием на случай непредвиденных обстоятельств.



Распространенные типы неуверенности в принятии решений и стратегии.

Распространенные типы инвентарного риска.


Обзор распространенных методов управления бизнес-рисками.



Упрощенный справочник по бизнесу и технологиям.
Список интересных бизнес-теорий.
Определение работы со знаниями с примерами.
Список социальных процессов, нелепостей и стратегий, связанных с офисной политикой.
Руководство по разработке продукта.
Различия между типами знаний.

Обзор кормушки печали.



Список распространенных бизнес-моделей.
Достаточно большой список маркетинговых стратегий.
Список общих конкурентных преимуществ.
Самые популярные статьи о Simplicable за последний день.



Последние сообщения или обновления на Simplicable.



5 важнейших организационных рисков, которые необходимо знать

В бизнесе легко сосредоточиться на внешних рисках.Наблюдение за тем, что делают конкуренты, новые компании, набирающие обороты, и изменения в ожиданиях клиентов — все это ценные и важные элементы знаний для вашего бизнеса. Однако многие компании совершают ошибку, игнорируя внутренние риски внутри компании, которые могут быть не менее разрушительными. Эти организационные риски часто скрыты, и их трудно обнаружить, пока не станет слишком поздно, если вы не знаете, что ищете. В этой статье вы узнаете о пяти наиболее серьезных организационных рисках, с которыми сегодня сталкиваются компании, и о том, как с ними бороться.

1. Отсутствие связи и интеграции

Самый большой организационный риск, с которым сегодня сталкиваются компании, — это отсутствие коммуникации и интеграции между командами. Согласно отчету Карнеги-Меллона, свободный поток информации в вашей организации позволяет сотрудникам понять, какое место они занимают в общей картине организации, вместо того, чтобы вынудить каждую работу изолироваться. Когда вы делитесь информацией, это делает ваших сотрудников более гибкими, поскольку они могут перекрестно обучаться, сотрудничать и получать новые взгляды на то, как работает компания.Хорошая коммуникационная политика побуждает ваших сотрудников добиваться глубоких знаний в своей роли и широты знаний о том, как эта роль взаимодействует с другими областями компании.

2. Правила важнее диалога

Согласно Harvard Business Review, одним из ключевых недостатков BP до катастрофы Deepwater Horizon было уделение приоритетного внимания правилам безопасности в ущерб диалогу. Работникам BP были даны строгие инструкции о том, как безопасно выполнять свою работу, и эти инструкции были неизменными.В свою очередь, сотрудники стали менее склонны обсуждать риски со своим руководителем. Хорошие компании сосредотачиваются на предоставлении возможностей для диалога, используя руководящие принципы, а не правила, для управления компанией.

3. Компрометации кибернетических и информационных систем

Конечно, компании думают о кибератаках извне. Однако надежность вашей сети информационных систем зависит от опыта каждого сотрудника компании. Чтобы защитить личную информацию, убедитесь, что ваши сотрудники понимают передовые методы обеспечения кибербезопасности и почему так важно, чтобы они им следовали.Chron обнаружил, что плохой внутренний контроль кибербезопасности является одним из самых больших организационных рисков, с которыми сталкиваются компании.

4. Не заглядывая в будущее

Легко быть в курсе последних новостей и всего, что происходит в вашей отрасли. Однако, когда руководство компании становится слишком близоруким в своем взгляде на рынок, это становится риском для компании. Большинство успешных компаний последнего десятилетия используют модели долгосрочного планирования, которые включают прогнозную аналитику, исследования цифровых тенденций и геополитическое прогнозирование, чтобы влиять на бизнес-решения.Взгляд в будущее — ключевой компонент гибкой и отзывчивой организации.

5. Неприятие риска

Недавний отчет McKinsey показал, что одним критическим организационным риском было недостаточно рисков. Риск — неотъемлемая часть бизнеса, и компании, которые не рискуют в эпоху цифровых технологий, остаются позади. Просто прятаться от меняющегося рынка и продолжать вести дела, как обычно, — один из худших способов, которыми бизнес может справиться с изменениями.

Основные организационные риски, на которые следует обратить внимание

Стоит провести тщательный аудит вашей внутренней практики, чтобы выявить эти организационные риски в вашей компании. Опасности, связанные с этими рисками, могут быть катастрофическими, но преимущества их устранения многочисленны. Расширение коммуникаций, диалога и дальновидного мышления сделает вашу компанию более устойчивой перед лицом проблем и более гибкой, чтобы получать прибыль от меняющихся условий.

Управление рисками: новая концепция

Примечание редактора. После того, как этот выпуск HBR был отправлен в печать, JP Morgan, чьи методы управления рисками освещаются в этой статье, обнаружил значительные торговые убытки в одном из своих подразделений.Авторы комментируют этот поворот событий в своем материале для информационного центра HBR по управлению рискованным поведением.

Когда Тони Хейворд стал генеральным директором BP в 2007 году, он поклялся сделать безопасность своим главным приоритетом. Среди новых правил, которые он ввел, были требования, согласно которым все сотрудники должны закрывать кофейные чашки во время ходьбы и воздерживаться от текстовых сообщений во время вождения. Три года спустя, по наблюдению Хейворда, в Мексиканском заливе взорвалась нефтяная вышка Deepwater Horizon, что привело к одной из самых страшных техногенных катастроф в истории.Комиссия по расследованию США объяснила катастрофу ошибками в управлении, которые ограничили «способность вовлеченных лиц выявлять риски, с которыми они сталкиваются, и должным образом оценивать, сообщать и устранять их». История Хейворда отражает общую проблему. Несмотря на всю риторику и вложенные в него деньги, управление рисками слишком часто рассматривается как проблема соответствия, которую можно решить, составив множество правил и убедившись, что все сотрудники их соблюдают. Многие из таких правил, конечно, разумны и действительно снижают некоторые риски, которые могут серьезно повредить компании.Но управление рисками на основе правил не уменьшит ни вероятность, ни последствия катастрофы, такой как Deepwater Horizon, точно так же, как не предотвратило банкротство многих финансовых институтов во время кредитного кризиса 2007–2008 годов.

В этой статье мы представляем новую категоризацию рисков, которая позволяет руководителям определять, какими рисками можно управлять с помощью модели, основанной на правилах, а какие требуют альтернативных подходов. Мы исследуем индивидуальные и организационные проблемы, связанные с открытыми, конструктивными дискуссиями об управлении рисками, связанными со стратегическим выбором, и утверждаем, что компаниям необходимо закрепить эти обсуждения в своих процессах разработки и реализации стратегии.В заключение мы рассмотрим, как организации могут выявлять непредотвратимые риски, которые возникают вне их стратегии и операций, и подготовиться к ним.

Управление рисками: правила или диалог?

Первым шагом в создании эффективной системы управления рисками является понимание качественных различий между типами рисков, с которыми сталкиваются организации. Наши полевые исследования показывают, что риски можно разделить на три категории. События риска из любой категории могут оказаться фатальными для стратегии компании и даже для ее выживания.

Категория I: Предотвращаемые риски.

Это внутренние риски, возникающие внутри организации, которые можно контролировать, и их следует устранять или избегать. Примерами являются риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или несоответствующими действиями сотрудников и руководителей, а также риски сбоев в повседневных операционных процессах. Безусловно, компании должны иметь зону толерантности к дефектам или ошибкам, которые не причинят серьезного ущерба предприятию и для которых достижение полного исключения будет слишком дорогостоящим.Но в целом компаниям следует стремиться к устранению этих рисков, поскольку они не получают стратегических выгод от их принятия. Торговец-мошенник или служащий, подкупающий местного чиновника, могут принести фирме некоторую краткосрочную прибыль, но со временем такие действия уменьшат стоимость компании.

Лучше всего управлять этой категорией риска посредством активного предотвращения: мониторинга операционных процессов и направления поведения и решений людей к желаемым нормам. Поскольку уже существует значительная литература по подходу к соблюдению требований, основанному на правилах, мы отсылаем заинтересованных читателей к врезке «Выявление и управление предотвращаемыми рисками» вместо полного обсуждения передовых практик.

Категория II: Стратегические риски.

Компания добровольно принимает на себя определенный риск, чтобы получить превосходную прибыль от своей стратегии. Банк принимает на себя кредитный риск, например, когда ссужает деньги; многие компании берут на себя риски, проводя исследования и разработки.

Стратегические риски сильно отличаются от предотвратимых рисков, потому что они не являются нежелательными по своей сути. Стратегия с высокой ожидаемой доходностью обычно требует от компании принятия на себя значительных рисков, и управление этими рисками является ключевым фактором для получения потенциальной прибыли.BP приняла на себя высокий риск бурения на несколько миль ниже поверхности Мексиканского залива из-за высокой стоимости нефти и газа, которые она надеялась добыть.

Рисками стратегии нельзя управлять с помощью модели контроля, основанной на правилах. Вместо этого вам нужна система управления рисками, предназначенная для снижения вероятности того, что предполагаемые риски действительно материализуются, и для улучшения способности компании управлять рисковыми событиями или сдерживать их в случае их возникновения. Такая система не остановит компании от рискованных предприятий; Напротив, это позволило бы компаниям браться за более рискованные и прибыльные предприятия, чем могли бы конкуренты с менее эффективным управлением рисками.

Категория III: Внешние риски.

Некоторые риски возникают в результате событий вне компании и находятся вне ее влияния или контроля. Источники этих рисков включают стихийные бедствия и политические бедствия, а также крупные макроэкономические сдвиги. Внешние риски требуют иного подхода. Поскольку компании не могут предотвратить такие события, их руководство должно сосредоточиться на идентификации (они, как правило, очевидны в ретроспективе) и смягчении их воздействия.

Компаниям следует адаптировать свои процессы управления рисками к этим различным категориям.Хотя подход, основанный на соблюдении требований, эффективен для управления предотвратимыми рисками, он совершенно неадекватен для стратегических рисков или внешних рисков, которые требуют принципиально иного подхода, основанного на открытом и явном обсуждении рисков. Однако это легче сказать, чем сделать; Обширные поведенческие и организационные исследования показали, что у людей есть сильные когнитивные предубеждения, которые мешают им думать и обсуждать риски, пока не станет слишком поздно.

Почему трудно говорить о риске

Многочисленные исследования показали, что люди переоценивают свою способность влиять на события, которые на самом деле во многом определяются случайностью.Мы склонны быть чрезмерно самоуверенными в отношении точности наших прогнозов и оценок рисков и слишком узкими в нашей оценке диапазона возможных результатов.

Мы также привязываем наши оценки к легкодоступным свидетельствам, несмотря на известную опасность линейных экстраполяций из недавней истории в весьма неопределенное и изменчивое будущее. Мы часто усугубляем эту проблему с предвзятостью подтверждения, , которая побуждает нас отдавать предпочтение информации, которая поддерживает наши позиции (обычно успехи), и подавлять информацию, которая им противоречит (обычно неудачи).Когда события расходятся с нашими ожиданиями, мы склонны усилить приверженность, иррационально направим еще больше ресурсов на наши неудачные действия — выбрасывая хорошие деньги за плохими.

Организационные предубеждения также мешают нам обсуждать риски и неудачи. В частности, команды, сталкивающиеся с неопределенными условиями, часто используют групповое мышление : после того, как курс действий получил поддержку в группе, те, кто еще не присоединился к команде, склонны подавлять свои возражения, какими бы обоснованными они ни были, и подчиняться.Групповое мышление особенно вероятно, если командой руководит властный или самоуверенный менеджер, который хочет свести к минимуму конфликты, задержки и вызовы своему авторитету.

В совокупности эти индивидуальные и организационные предубеждения объясняют, почему так много компаний игнорируют или неправильно интерпретируют неоднозначные угрозы. Вместо того, чтобы уменьшать риск, фирмы фактически инкубируют риск посредством нормализации отклонений , по мере того, как они учатся мириться с очевидными незначительными сбоями и дефектами и рассматривать ранние предупреждающие сигналы как ложные, а не как предупреждения о надвигающейся опасности.

Эффективные процессы управления рисками должны противодействовать этим предубеждениям. «Снижение риска — болезненный процесс, который не является естественным для человека действием», — говорит Джентри Ли, главный системный инженер Лаборатории реактивного движения (JPL), подразделения Национального управления США по аэронавтике и исследованию космического пространства. Ученые-ракетчики в проектных группах JPL — это лучшие выпускники элитных университетов, многие из которых никогда не испытывали неудач в школе или на работе. Самая большая проблема Ли в создании новой культуры риска в JPL заключалась в том, чтобы заставить проектные группы чувствовать себя комфортно, думая и говоря о том, что может пойти не так с их прекрасным дизайном.

Правила о том, что делать и чего не делать, здесь не помогут. Фактически, они обычно имеют противоположный эффект, поощряя менталитет контрольного списка, который препятствует вызову и обсуждению. Управление стратегическими рисками и внешними рисками требует очень разных подходов. Мы начнем с изучения того, как выявлять и снижать риски стратегии.

Управление стратегическими рисками

За последние 10 лет исследований мы выявили три различных подхода к управлению стратегическими рисками.Какая модель подходит для данной фирмы, во многом зависит от контекста, в котором работает организация. Каждый подход требует совершенно разных структур и ролей для функции управления рисками, но все три побуждают сотрудников оспаривать существующие предположения и обсуждать информацию о рисках. Наш вывод о том, что «один размер не подходит всем», противоречит усилиям регулирующих органов и профессиональных ассоциаций по стандартизации функции.

Независимые эксперты.

Некоторые организации, особенно такие, как JPL, которые расширяют границы технологических инноваций, сталкиваются с высоким внутренним риском, поскольку они реализуют длительные, сложные и дорогостоящие проекты по разработке продуктов.Но поскольку большая часть риска возникает из-за соблюдения известных законов природы, риск медленно меняется с течением времени. В этих организациях управление рисками может осуществляться на уровне проекта.

JPL, например, учредила совет по анализу рисков, состоящий из независимых технических экспертов, роль которых состоит в том, чтобы оспаривать решения инженеров по проектированию, оценке рисков и снижению рисков. Эксперты обеспечивают периодическую оценку рисков на протяжении всего цикла разработки продукта.Поскольку риски относительно неизменны, наблюдательный совет должен встречаться только один или два раза в год, при этом руководитель проекта и глава наблюдательного совета встречаются ежеквартально.

Заседания совета по анализу рисков проходят интенсивно, создавая то, что Джентри Ли называет «культурой интеллектуальной конфронтации». Как говорит член совета директоров Крис Левицки: «Мы разрываем друг друга, бросаем камни и очень критически комментируем все, что происходит». При этом инженеры-проектировщики видят свою работу с другой стороны.«Это отрывает их носы от точильного камня», — добавляет Левицки.

Встречи, как конструктивные, так и конфронтационные, не предназначены для того, чтобы помешать команде проекта выполнять весьма амбициозные задачи и замыслы. Но они заставляют инженеров заранее подумать о том, как они будут описывать и защищать свои проектные решения, и достаточно ли они учли вероятные отказы и дефекты. Члены правления, выступая в роли защитников дьявола, уравновешивают естественную самоуверенность инженеров, помогая избежать эскалации приверженности проектам с неприемлемым уровнем риска.

В JPL комиссия по анализу рисков не только способствует активному обсуждению рисков проекта, но и имеет полномочия над бюджетами. Совет устанавливает резервы затрат и времени для каждого компонента проекта в соответствии с его степенью инновационности. Например, простое продление предыдущей миссии потребует от 10% до 20% финансового резерва, тогда как совершенно новый компонент, который еще не работал на Земле — а тем более на неизведанной планете — может потребовать от 50% до 75% непредвиденных обстоятельств. .Резервы гарантируют, что, когда проблемы неизбежно возникнут, команда проекта получит доступ к деньгам и времени, необходимым для их решения, без ущерба для даты запуска. JPL серьезно относится к оценкам; проекты были отложены или отменены, если средств было недостаточно для покрытия рекомендованных резервов.

Управление рисками — это болезненный процесс — это не естественный поступок для человека.

Посредники.

Многие организации, такие как традиционные предприятия энергетики и водоснабжения, работают в стабильной технологической и рыночной среде с относительно предсказуемым потребительским спросом. В этих ситуациях риски в значительной степени проистекают из кажущихся несвязанными операционных решений в сложной организации, которые накапливаются постепенно и могут оставаться скрытыми в течение длительного времени.

Поскольку ни одна группа сотрудников не обладает знаниями для управления рисками на операционном уровне в рамках различных функций, компании могут развернуть относительно небольшую центральную группу управления рисками, которая собирает информацию от операционных менеджеров. Это повышает осведомленность менеджеров о рисках, взятых на себя в организации, и дает лицам, принимающим решения, полную картину профиля рисков компании.

Мы наблюдали эту модель в действии в Hydro One, канадской электроэнергетической компании. Директор по рискам Джон Фрейзер при явной поддержке генерального директора ежегодно проводит десятки семинаров, на которых сотрудники всех уровней и функций выявляют и ранжируют основные риски, которые они видят для стратегических целей компании. Сотрудники используют технологию анонимного голосования для оценки каждого риска по шкале от 1 до 5 с точки зрения его воздействия, вероятности возникновения и силы существующих средств контроля.Рейтинги обсуждаются на семинарах, и сотрудники имеют право высказывать и обсуждать свое восприятие риска. В конечном итоге группа вырабатывает консенсусное мнение, которое фиксируется на визуальной карте рисков, рекомендует планы действий и назначает «владельца» для каждого крупного риска.

Опасность внедрения риск-менеджеров в линейную организацию заключается в том, что они «становятся местными» — становятся участниками сделки, а не ее участниками.

Hydro One усиливает подотчетность, увязывая решения о распределении капитала и бюджете с выявленными рисками.В процессе планирования капитала на корпоративном уровне выделяются сотни миллионов долларов, в основном на проекты, которые эффективно и действенно снижают риски. Группа риска привлекает технических экспертов для оспаривания инвестиционных планов линейных инженеров и оценок рисков, а также для обеспечения независимого экспертного надзора за процессом распределения ресурсов. На ежегодном собрании по распределению капитала линейные менеджеры должны защищать свои предложения перед коллегами и высшим руководством. Менеджеры хотят, чтобы их проекты привлекали финансирование в процессе планирования капитала с учетом рисков, поэтому они учатся преодолевать предвзятость, чтобы скрыть или минимизировать риски в своих областях ответственности.

Встроенные эксперты.

Отрасль финансовых услуг представляет собой уникальную проблему из-за нестабильной динамики рынков активов и потенциального воздействия решений, принимаемых децентрализованными трейдерами и инвестиционными менеджерами. Профиль риска инвестиционного банка может резко измениться в результате одной сделки или крупного движения на рынке. Для таких компаний управление рисками требует наличия встроенных экспертов в организации, которые должны постоянно отслеживать профиль рисков бизнеса и влиять на него, работая бок о бок с линейными руководителями, деятельность которых порождает новые идеи, инновации и риски — и, если все идет хорошо, прибыль .

JP Morgan Private Bank принял эту модель в 2007 году, в разгар мирового финансового кризиса. Риск-менеджеры, встроенные в линейную организацию, подчиняются как линейным руководителям, так и централизованной независимой функции управления рисками. Личный контакт с линейными менеджерами позволяет опытным менеджерам по управлению рисками постоянно задавать вопросы «а что, если», оспаривая предположения управляющих портфелем и заставляя их смотреть на различные сценарии. Риск-менеджеры оценивают, как предлагаемые сделки влияют на риск всего инвестиционного портфеля не только при нормальных обстоятельствах, но и в периоды экстремального стресса, когда корреляция доходностей по разным классам активов возрастает.«Управляющие портфелем приходят ко мне с тремя сделками, и модель [риска] может сказать, что все три добавляют к одному и тому же типу риска», — объясняет Григорий Жикарев, риск-менеджер JP Morgan. «В девяти случаях из 10 менеджер скажет:« Нет, это не то, что я хочу делать ». Затем мы можем сесть и изменить структуру сделок».

Главная опасность встраивания риск-менеджеров в линейную организацию заключается в том, что они «становятся родными», присоединяются к внутреннему кругу руководящей группы бизнес-подразделения, становясь участниками сделки, а не лицами, задающими вопросы.Предотвратить это — ответственность старшего сотрудника по управлению рисками компании и, в конечном счете, генерального директора, который задает тон культуре управления рисками компании.

Как избежать функциональной ловушки

Даже если у менеджеров есть система, которая способствует активному обсуждению рисков, их поджидает вторая когнитивно-поведенческая ловушка. Поскольку многие стратегические риски (и некоторые внешние риски) вполне предсказуемы — даже знакомы, — компании склонны маркировать и разделять их, особенно по направлениям бизнеса.Банки часто управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском», в отдельных группах. Другие компании разделяют управление на «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «ИТ-риск» и «финансовый риск».

Такие организационные разрозненности рассредоточивают как информацию, так и ответственность за эффективное управление рисками. Они препятствуют обсуждению того, как взаимодействуют различные риски. Хорошие обсуждения рисков должны быть не только конфронтационными, но и комплексными.Бизнес может потерпеть неудачу из-за комбинации небольших событий, которые неожиданно усиливают друг друга.

Менеджеры могут разработать перспективу рисков в масштабах компании, привязывая свои обсуждения к стратегическому планированию — единому интеграционному процессу, который уже есть в большинстве хорошо управляемых компаний. Например, Infosys, индийская компания, предоставляющая ИТ-услуги, генерирует обсуждения рисков с помощью сбалансированной системы показателей, своего инструмента управления для измерения стратегии и обмена информацией. «Когда мы спросили себя, какие риски нам следует учитывать, — говорит М.Д. Ранганат, директор по управлению рисками, «мы постепенно сосредоточили внимание на рисках для бизнес-целей, указанных в нашей корпоративной системе показателей».

При построении своей сбалансированной системы показателей Infosys определила «растущие отношения с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как количество глобальных клиентов с ежегодными счетами, превышающими 50 миллионов долларов США, и годовой процент увеличения доходов от крупных клиентов. При рассмотрении цели и показателей эффективности руководство осознало, что его стратегия привнесла новый фактор риска: дефолт клиентов.Когда бизнес Infosys был основан на большом количестве мелких клиентов, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом за 50 миллионов долларов приведет к серьезной неудаче. Infosys начала отслеживать процент свопов по кредитному дефолту каждого крупного клиента как ведущий индикатор вероятности дефолта. Когда ставка клиента увеличивается, Infosys ускоряет сбор дебиторской задолженности или запрашивает промежуточные платежи, чтобы снизить вероятность или влияние дефолта.

В качестве другого примера рассмотрим Volkswagen do Brasil (впоследствии сокращенно VW), бразильский филиал немецкого автопроизводителя.Подразделение по управлению рисками VW использует стратегическую карту компании в качестве отправной точки для диалога о рисках. Для каждой цели на карте группа определяет события риска, которые могут привести к тому, что VW не выполнит эту задачу. Затем группа создает карту событий риска для каждого риска на карте, в котором перечисляются практические последствия события для операций, вероятность возникновения, основные индикаторы и возможные действия по снижению. Он также определяет, кто несет основную ответственность за управление рисками.(См. Выставку «Карточка событий риска».) Группа управления рисками затем представляет высшему руководству краткое изложение результатов. (См. «Отчет о рисках».)

Помимо внедрения систематического процесса выявления и снижения стратегических рисков, компаниям также необходима структура надзора за рисками. Infosys использует двойную структуру: центральная группа управления рисками, которая определяет общие стратегические риски и устанавливает центральную политику, и специализированные функциональные группы, которые разрабатывают и контролируют политики и средства контроля в консультации с местными бизнес-группами.Децентрализованные группы обладают полномочиями и опытом, чтобы помочь бизнес-направлениям реагировать на угрозы и изменения в их профилях рисков, передавая на рассмотрение центральной группе управления рисками только исключения. Например, если менеджер по работе с клиентами хочет предоставить более длительный период кредита компании, параметры кредитного риска которой высоки, функциональный менеджер по рискам может отправить дело на рассмотрение в центральную группу.

Эти примеры показывают, что размер и объем функции управления рисками не продиктованы размером организации. Hydro One, крупная компания, имеет относительно небольшую группу риска для повышения осведомленности о рисках и информирования всей фирмы, а также для консультирования исполнительной группы по распределению ресурсов с учетом рисков. Напротив, относительно небольшие компании или подразделения, такие как JPL или JP Morgan Private Bank, нуждаются в нескольких экспертных советах на уровне проектов или группах встроенных менеджеров по рискам, чтобы применять знания в предметной области для оценки рисков бизнес-решений. А Infosys, крупной компании с широким операционным и стратегическим охватом, требуется сильная централизованная функция управления рисками, а также распределенные менеджеры по рискам, которые поддерживают местные бизнес-решения и способствуют обмену информацией с централизованной группой рисков.

Управление неконтролируемым

Внешние риски, третья категория рисков, обычно невозможно уменьшить или избежать с помощью подходов, используемых для управления предотвратимыми и стратегическими рисками. Внешние риски в значительной степени находятся вне контроля компании; компаниям следует сосредоточиться на их выявлении, оценке их потенциального воздействия и выяснении того, как лучше всего смягчить их последствия в случае их возникновения.

Некоторые события внешнего риска достаточно неизбежны, чтобы менеджеры могли управлять ими, как и рисками своей стратегии.Например, во время экономического спада после мирового финансового кризиса Infosys выявила новый риск, связанный с ее целью по развитию глобальной рабочей силы: всплеск протекционизма, который может привести к жестким ограничениям на рабочие визы и разрешения для иностранных граждан в нескольких странах ОЭСР. страны, где у Infosys было много клиентов. Хотя протекционистское законодательство технически является внешним риском, поскольку он находится вне контроля компании, Infosys рассмотрела его как стратегический риск и создала для него Карту событий риска, которая включала новый индикатор риска: количество и процент сотрудников с двойным гражданством или существующих разрешения на работу за пределами Индии.Если это число сократится из-за текучести кадров, глобальная стратегия Infosys может оказаться под угрозой. Поэтому Infosys внедрила политику найма и удержания персонала, которая смягчает последствия этого внешнего риска.

Однако для большинства событий внешнего риска требуется иной аналитический подход либо потому, что вероятность их возникновения очень мала, либо потому, что менеджерам трудно представить их во время своих обычных процессов стратегии. Мы выделили несколько различных источников внешних рисков:

  • Стихийные бедствия и экономические катастрофы с немедленными последствиями. Эти риски в общих чертах предсказуемы, хотя их время обычно не зависит от времени (когда-нибудь в Калифорнии произойдет сильное землетрясение, но точно неизвестно, где и когда). Их можно ожидать только по относительно слабым сигналам. Примеры включают стихийные бедствия, такие как извержение исландского вулкана в 2010 году, которое закрыло европейское воздушное пространство на неделю, и экономические бедствия, такие как лопание крупного пузыря цен на активы. Когда возникают эти риски, их последствия, как правило, резко и незамедлительно, как мы видели на примере разрушений в результате землетрясения и цунами в Японии в 2011 году.
  • Геополитические и экологические изменения с долгосрочными последствиями. Сюда входят политические сдвиги, такие как серьезные изменения в политике, перевороты, революции и войны; долгосрочные изменения окружающей среды, такие как глобальное потепление; и истощение важнейших природных ресурсов, таких как пресная вода.
  • Конкурентные риски со среднесрочным воздействием. К ним относятся появление прорывных технологий (таких как Интернет, смартфоны и штрих-коды) и радикальные стратегические шаги со стороны игроков отрасли (такие как выход Amazon на рынок розничной торговли книгами и Apple на рынок мобильных телефонов и бытовой электроники).

Компании используют разные аналитические подходы для каждого из источников внешнего риска.

Способность фирмы выдерживать штормы зависит от того, насколько серьезно руководители относятся к управлению рисками, когда светит солнце и на горизонте нет облаков.

Стресс-тесты хвостового риска.

Стресс-тестирование помогает компаниям оценить серьезные изменения в одной или двух конкретных переменных, последствия которых будут значительными и немедленными, хотя точное время невозможно предсказать.Фирмы, предоставляющие финансовые услуги, используют стресс-тесты для оценки, например, того, как такое событие, как утроение цен на нефть, резкое колебание обменных курсов или процентных ставок, или дефолт крупного учреждения или суверенной страны, повлияет на торговые позиции и инвестиции.

Однако выгоды от стресс-тестирования в решающей степени зависят от допущений — которые сами по себе могут быть предвзятыми — о том, насколько изменится рассматриваемая переменная. Например, стресс-тесты многих банков в 2007–2008 годах предполагали наихудший сценарий, при котором U.Цены на жилье выровнялись и оставались неизменными в течение нескольких периодов. Очень немногие компании задумывались о том, чтобы проверить, что произойдет, если цены начнут снижаться — отличный пример тенденции привязать оценки к последним и легкодоступным данным. Большинство компаний экстраполировали недавние цены на жилье в США, которые в течение нескольких десятилетий не падали в целом, для разработки чрезмерно оптимистичных оценок рынка.

Сценарное планирование.

Этот инструмент подходит для долгосрочного анализа, обычно от 5 до 10 лет.Первоначально разработанный в Shell Oil в 1960-х годах, анализ сценариев представляет собой систематический процесс определения вероятных границ будущих состояний мира. Участники исследуют политические, экономические, технологические, социальные, регулятивные и экологические факторы и выбирают некоторое количество факторов, обычно четыре, которые окажут наибольшее влияние на компанию. Некоторые компании явно используют опыт своих консультативных советов, чтобы информировать их о важных тенденциях, выходящих за рамки повседневной деятельности компании и отрасли, которые следует учитывать в их сценариях.

Для каждого из выбранных драйверов участники оценивают максимальные и минимальные ожидаемые значения на период от 5 до 10 лет. Комбинирование экстремальных значений для каждого из четырех драйверов приводит к 16 сценариям. Около половины имеют тенденцию быть неправдоподобными и отбрасываются; Затем участники оценивают, как стратегия их фирмы будет работать в остальных сценариях. Если менеджеры видят, что их стратегия зависит от в целом оптимистичного взгляда, они могут изменить ее, чтобы учесть пессимистические сценарии, или разработать планы того, как бы они изменили свою стратегию, если ранние индикаторы покажут возрастающую вероятность того, что события повернутся против нее.

Военно-игровой.

War-gaming оценивает уязвимость фирмы перед разрушительными технологиями или изменениями в стратегиях конкурентов. В военной игре компания поручает трем или четырем командам разработать вероятные краткосрочные стратегии или действия, которые существующие или потенциальные конкуренты могут предпринять в течение следующих одного или двух лет — более короткий временной горизонт, чем у анализа сценариев. Затем команды встречаются, чтобы изучить, как умные конкуренты могут атаковать стратегию компании.Этот процесс помогает преодолеть предвзятое отношение лидеров к игнорированию свидетельств, противоречащих их текущим убеждениям, включая возможность действий, которые могут предпринять конкуренты для нарушения их стратегии.

Компании не могут повлиять на вероятность событий риска, выявленных с помощью таких методов, как тестирование риска хвоста, планирование сценариев и военные действия. Но менеджеры могут предпринять конкретные действия для смягчения своего воздействия. Поскольку моральный риск не возникает из-за непредвиденных событий, компании могут использовать страхование или хеджирование для смягчения некоторых рисков, как это делает авиакомпания, когда она защищает себя от резкого повышения цен на топливо с помощью производных финансовых инструментов.Другой вариант для фирм — делать инвестиции сейчас, чтобы избежать гораздо более высоких затрат в будущем. Например, производитель, располагающий объектами в сейсмоопасных районах, может увеличить затраты на строительство, чтобы защитить критически важные объекты от сильных землетрясений. Кроме того, компании, подверженные различным, но сопоставимым рискам, могут сотрудничать для их смягчения. Например, центры обработки данных ИТ университета в Северной Каролине будут уязвимы для риска ураганов, в то время как центры сопоставимого университета на разломе Сан-Андреас в Калифорнии будут уязвимы для землетрясений.Вероятность того, что обе катастрофы произойдут в один и тот же день, достаточно мала, чтобы два университета могли уменьшить свои риски, создавая резервные копии систем друг друга каждую ночь.

Вызов лидерства

Управление рисками сильно отличается от стратегии управления. Управление рисками фокусируется на негативе — угрозах и неудачах, а не на возможностях и успехах. Это полностью противоречит культуре «умения», которую большинство руководящих групп стараются развивать при реализации стратегии.И многие лидеры имеют тенденцию недооценивать будущее; они не хотят тратить время и деньги сейчас, чтобы избежать неопределенной будущей проблемы, которая может возникнуть в будущем на чьей-то стороне. Более того, снижение риска обычно включает в себя рассредоточение ресурсов и диверсификацию инвестиций, что является полной противоположностью успешной стратегии. Менеджеры могут посчитать, что отстаивание процессов, которые выявляют риски для стратегий, которые они помогли сформулировать, противоречат их культуре.

По этим причинам большинству компаний требуется отдельная функция для управления стратегическими и внешними рисками.Размер функции управления рисками будет варьироваться от компании к компании, но группа должна подчиняться непосредственно руководству. В самом деле, налаживание тесных отношений с высшим руководством, возможно, будет самой важной задачей; Способность компании выдерживать штормы во многом зависит от того, насколько серьезно руководители относятся к своей функции управления рисками, когда светит солнце и на горизонте нет облаков.

Это то, что отделяло банки, потерпевшие крах во время финансового кризиса, от выживших.Обанкротившиеся компании переложили управление рисками на функцию комплаенса; их менеджеры по рискам имели ограниченный доступ к высшему руководству и советам директоров. Более того, руководители обычно игнорировали предупреждения менеджеров по рискам о высокоприбыльных и сконцентрированных позициях. В отличие от этого, Goldman Sachs и JPMorgan Chase, две фирмы, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли множественными подверженностями компаний рискам.Барри Зуброу, главный специалист по рискам в JP Morgan Chase, сказал нам: «Возможно, у меня есть титул, но [генеральный директор] Джейми Даймон является директором по рискам компании». Управление рисками не интуитивно понятно; это противоречит многим индивидуальным и организационным предубеждениям. Правила и соответствие могут снизить некоторые критические риски, но не все из них. Активное и рентабельное управление рисками требует от менеджеров систематического обдумывания множества категорий рисков, с которыми они сталкиваются, чтобы они могли внедрить соответствующие процессы для каждой.Эти процессы нейтрализуют их управленческое предубеждение смотреть на мир таким, каким они хотели бы его видеть, а не таким, каким он является на самом деле или может стать.

Версия этой статьи появилась в июньском выпуске Harvard Business Review за 2012 год.

Управление и оценка организационных рисков

Управление рисками является основным компонентом всего, что мы делаем. Подсознательно мы оцениваем риски и управляем ими с каждым принимаемым решением — от подъема утром до отхода ко сну.Так что в некотором смысле большинство из нас уже являются опытными риск-менеджерами. Тем не менее, многие считают, что управление рисками в организации является непосильной задачей. Управление рисками вашей организации не является и не должно быть сложной задачей.

За свою карьеру я внедрил и проанализировал успешное выполнение управления рисками в корпорациях Fortune 1000 и 500, государственных учреждениях и малых предприятиях, которые впервые формализовали свой процесс управления рисками. Это сообщение в блоге предлагает простые шаги, которым вы можете следовать, чтобы помочь своей организации эффективно оценивать свои риски и управлять ими.Такой подход можно успешно адаптировать и применить к любому предприятию.

Понимание, почему ваша организация идет на риск

Понимание миссии и целей организации имеет решающее значение для наличия эффективной программы управления рисками. Они не только говорят вам, чего хочет достичь организация, но и почему она готова пойти на риск, чтобы сделать это. Они служат фоном и предоставляют предприятию контекст для оценки рисков и управления ими.

Каждая организация стремится создавать ценности.Хотя это может принимать разные формы, ценность — это функция риска и вознаграждения. Компании должны рисковать, чтобы создавать ценность. Часто говорят, что чем больше риск, тем больше награда. Это утверждение неверно. Постоянный чрезмерный риск почти наверняка приведет к огромным потерям. Однако полностью исключить риск невозможно. Управление организационными рисками — это дисциплина, которая помогает организации работать на уровне риска, который позволяет ей максимизировать создание ценности.

Комитет спонсорских организаций (COSO) определяет управление рисками предприятия как «процесс. . . предназначены для выявления потенциальных событий, которые могут повлиять на организацию, и управления риском в рамках ее аппетита к риску, чтобы обеспечить разумную уверенность в достижении целей организации ». Исходя из этого определения, невозможно управлять рисками, не зная реальных целей предприятия. Тем не менее, я видел организации, в которых деятельность по управлению рисками осуществляется без учета их целей или задач.

Выявление рисков в вашей организационной структуре

После четкого определения своей миссии и целей организация готова подготовиться к оценке рисков, выполнив упражнение по выявлению рисков. На этом этапе важно иметь достаточно прочную организационную структуру управления рисками, чтобы обеспечить адекватный охват и входные данные от всей организации в течение всего процесса. Наихудший сценарий выявления рисков для крупного предприятия — это когда несколько человек, которым поручено управление рисками, внутренний аудит или соблюдение нормативных требований, выполняют этот процесс без участия бизнеса.

Цель и результат этого упражнения — создать исчерпывающий список рисков для всей организации. Это наиболее эффективно и точно, когда задействован персонал из разных подразделений и с различными уровнями надзорной ответственности. Не забудьте включить возможность мошенничества и неправомерных действий в качестве конкретных областей рассмотрения на этом этапе. Выявленные риски обычно группируются по типу риска (например, операционный, экологический, стратегический, финансовый и т. Д.) Для целей отчетности.

Оценка организационных рисков

Когда исчерпывающий список рисков подготовлен, предприятие готово выполнить оценку рисков. Люди называют это множеством разных имен, например, оценка рисков компании или оценка рисков внутреннего контроля. Организации могут проводить оценку конкретных областей риска, таких как управление рисками данных или ИТ-безопасность. Независимо от размера организации или объема оценки, следующие три ключевых компонента оценки риска:

  • Разработка критериев оценки,
  • Оценка рисков и
  • Определение приоритетов рисков.

Критерии оценки разрабатываются до оценки идентифицированного риска, чтобы гарантировать, что участники, оценивающие и устанавливающие приоритеты рисков, используют для этого одну и ту же основу. Вероятность и влияние определенных рисков являются наиболее распространенными атрибутами, используемыми для оценки рисков. Предполагая, что каждый участник может оценить вероятность и влияние контроля как высокую, среднюю или низкую; критерии будут определять диапазоны, которые будет охватывать каждый рейтинг. Например, критерии могут определять рейтинг низкой вероятности, поскольку риск, скорее всего, не произойдет в следующем году, тогда как средний, вероятно, произойдет в следующие 6-12 месяцев, а высокий, скорее всего, произойдет в следующие шесть. месяцы.Без определенных критериев было бы трудно интерпретировать рейтинги для ряда участников.

Другой компонент, который должен быть определен в критериях оценки, заключается в том, должны ли риски оцениваться на основе неотъемлемого или остаточного риска. Неотъемлемый риск потребует от участников оценки риска, исходя из предположения об отсутствии средств контроля. Использование остаточного риска позволит оценить риск, который остается после того, как предприятие ввело в действие все меры контроля. По моему опыту, использование остаточного риска является самым простым подходом.

Процесс оценки рисков заключается в том, что участники фактически оценивают каждый риск на основе критериев оценки. Для более крупных предприятий это может быть итеративный процесс, при котором большая группа менеджеров нижнего или среднего звена может сначала оценить риски, а затем предоставить подмножество рисков на основе своего вклада старшим менеджерам или высшему руководству для оценки риска. Небольшой бизнес может проводить оценку рисков за один раунд или семинар с руководством. Оценки рисков могут проводиться различными способами, такими как онлайн-опросы, индивидуальные интервью, групповые семинары или сравнительный анализ.Результатом этого процесса является рейтинг риска для каждого риска, обычно основанный на средней вероятности и влиянии.

Несмотря на то, что всем рискам присваиваются приоритеты на основе их рейтинга риска на основе оценки рисков, приоритезация рисков — это последующий процесс определения приоритетов управления рисками путем сравнения уровня риска с заранее определенными уровнями риска и порогами толерантности. Взгляд на риск расширен с точки зрения финансового воздействия и вероятности и включает субъективные критерии, такие как воздействие на здоровье и безопасность, влияние на репутацию, уязвимость и другие качественные факторы.Это действие, которое следует выполнять с руководителями и членами правления, которые осуществляют надзор за компанией. Некоторым средствам контроля с более низким рейтингом риска может быть присвоен больший приоритет, чем другим из-за этих дополнительных факторов.

Краткое описание ключевых вопросов, решаемых при управлении рисками:

Начало управления организационными рисками

Многие виды деятельности по управлению рисками в организации заканчиваются ежегодной оценкой рисков. Однако это только начало управления рисками.Оценка рисков предоставляет информацию о ключевых или высших рисках, с которыми сталкивается организация, а также базовый уровень рисков, который следует учитывать при оценке среды внутреннего контроля. Однако оценка рисков — бессмысленное занятие, если руководство не примет меры в соответствии с этой информацией.

Как справиться с риском?

Хотя вы можете нести ответственность за содействие процессу, управление организационными рисками должно разделяться руководством всей организации. Вы, ваша команда и те старшие руководители, которые участвуют в процессе, составляют вашу основную организационную структуру управления рисками.Членам этой группы следует назначить ответственность за первоочередные организационные риски. Владельцы рисков не только занимают руководящие должности, но также имеют опыт и обязанности, связанные с рисками, которыми они владеют. Владельцы рисков должны иметь возможность привлекать помощь для исследования рисков и потенциальных действий, которые организация может предпринять для устранения рисков. Ниже перечислены пять типов действий, которые можно предпринять для устранения риска:

  • Принять — принимая риск, организация решает не предпринимать никаких действий и устранять последствия, если / когда они возникнут.
  • Избегайте — выбор избегания риска — это когда организация отказывается от определенных действий, которые потенциально могут вызвать риск.
  • Снижение риска — организация снижает риск, добавляя меры контроля, которые уменьшают или устраняют риск.
  • Передача — компания передает риск, застраховавшись от потенциального воздействия риска или передавая деятельность, связанную с риском, другой организации.
  • Эксплойт — организация использует риск при положительном воздействии, выполняя действия, которые увеличивают вероятность его возникновения.

Владельцы рисков должны представить дополнительную информацию, полученную в отношении их соответствующих рисков, а также предлагаемые ими действия в структуре управления рисками организации и, если они разделены, исполнительной команде для их рассмотрения и утверждения принятия мер.

Когда следует переоценивать риск?

Как следует из слова «менеджмент», управление рисками — это непрерывный процесс. Мир постоянно меняется с появлением новых технологий, нормативных изменений, отраслевых сдвигов и т. Д.Кроме того, в рамках управления рисками организации вносят внутренние изменения. Следовательно, управление рисками — это итеративный процесс. Ежегодной оценки рисков может быть достаточно для выполнения организацией минимальных обязательств. Однако организациям следует регулярно пересматривать свою оценку рисков и соответствующие планы действий, чтобы повторно оценить, изменился ли риск, и определить влияние своих действий на снижение общего профиля рисков организации.

Как оценить риск у поставщиков услуг?

Мы живем в такое время, когда почти каждая организация отдаёт что-то на аутсорсинг.Аутсорсинг перекладывает часть риска на поставщика услуг. Однако, если ваша компания является поставщиком услуг, вы все равно несете ответственность за мониторинг своих поставщиков услуг и обеспечение качества конечного предоставления ваших услуг вашим клиентам.

Итак, как вы можете получить комфортную среду контроля поставщиков услуг и качество обслуживания? Вы можете запросить и просмотреть отчет SOC у своего поставщика услуг. Это может помочь вам определить риски, которые не рассматриваются поставщиком услуг, и необходимость внедрения средств контроля для снижения этих рисков в вашей собственной среде.Узнайте больше о различных типах сервисных организаций, для которых вы можете запросить отчет SOC.

Резюме

Управление рисками — это непрерывный процесс, а не событие. При правильном выполнении он может стать мощным инструментом, позволяющим организациям работать с оптимальным уровнем риска, что позволяет им максимизировать создание ценности. Важно помнить, что поставщиков услуг для критических процессов следует рассматривать как продолжение вашей организации.

Для получения дополнительной информации об управлении рисками организации и аудитах SOC прочтите соответствующие сообщения в блоге:

Исаак Кларк — партнер Linford & Co., ТОО. Он начал свою карьеру в компании «Эрнст энд Янг» в 2003 году, где в течение ряда лет совершенствовал свои знания в области аудита. Исаак специализируется на проведении многочисленных экзаменов SOC 1 и SOC 2 для различных компаний — от стартапов до компаний из списка Fortune 100. Исааку нравится помогать своим клиентам понять и упростить их деятельность по соблюдению требований. Он внимательно относится к потребностям своих клиентов и тщательно работает над тем, чтобы каждая экспертиза и отчет соответствовали профессиональным стандартам.

Организационные риски, на которые обязательно нужно реагировать

Детали
Опубликовано: 16.06.2017 07:47

Организации легко могут чувствовать себя подавленными количеством и масштабом рисков, с которыми они сталкиваются; но часто восприятие потенциального вреда, вызванного различными рисками, преувеличено.В этой статье Крис Батлер перечисляет реальные риски, которые необходимо учитывать каждой организации.

Знаете ли вы, что самое опасное животное в мире — это не акула или медведь, а на самом деле комар? Несомненно то, что человеческое восприятие риска заведомо ошибочно; Часто события, которые беспокоят и возмущают нас больше всего, имеют наименьшую вероятность.

От политических и экономических потрясений до киберугроз — 2017 год представляет собой еще одно минное поле рисков для бизнеса.Для организаций формирование более глубокого понимания как угроз, так и факторов риска имеет решающее значение для сохранения устойчивости, устойчивости и, что самое главное, впереди конкурентов. Частично это связано с отделением мифов от реальности. Итак, каковы же тогда реальные риски для бизнеса сегодня?

Репутационный ущерб
Это не обязательно должно быть вызвано фатальной аварией или экологической катастрофой, такой как разлив нефти Deepwater Horizon, после которого репутация и способность BP предлагать новые контракты резко упали из-за неправильного обращения с коммуникациями в кризисных ситуациях.Как выяснила KitchenAid, сотрудник, непреднамеренно поделившийся безвкусной шуткой в ​​аккаунте компании в Твиттере вместо личного имени, также может нанести ущерб. (К чести, компания ответила быстрыми, заслуживающими доверия извинениями и объяснениями в течение восьми минут после появления твита — отличный пример хороших коммуникаций в кризисных ситуациях).

Сбой связи
Наша собственная статистика обращений подтверждает, что сбои связи наравне с отказами оборудования и питания являются основной причиной, по которой клиенты обращаются к нам за соглашениями о восстановлении.Это стало причиной чуть более пятой части (21%) всех вызовов в 2016 году. (1)

Слабые звенья в цепочке поставок
Это может быть старое, но наш цифровой век делает его не менее верным, чем раньше; сила организации определяется ее самым слабым звеном, и она уязвима для любых недостатков в ее сторонней экосистеме, то есть вендоров, партнеров, подрядчиков и поставщиков, что может иметь серьезные последствия (2).

Соответствие новому законодательству
Если посмотреть конкретно на Общий регламент по защите данных (GDPR), готовность организации адаптироваться к новым вызовам конфиденциальности данных и снижение терпимости к утечкам данных представляет собой как возможность, так и угрозу.Мы ожидаем, что количество утечек данных будет увеличиваться, поскольку хактивисты или шантажисты выявляют нарушения конфиденциальности данных, что приводит к проблемам с несоблюдением GDPR.

И, конечно же, с кибербезопасностью существует постоянная и растущая угроза, которую представляет:

Вредоносное ПО
Home Depot потребовалось шесть месяцев, чтобы обнаружить, что установлено вредоносное ПО, которое позволяло хакерам украсть данные 56 миллионов клиентов до того, как была обнаружена утечка. Плохая ситуация усугубилась тем, что выяснилось, что отношение руководства к персоналу, вызывающему озабоченность по поводу плохой информационной безопасности, было «Мы продаем молотки».

Кибератаки
Хакерам удалось проникнуть во французскую медиа-организацию TV5Monde и отключить ее социальные сети, веб-сайты и электронную почту. Разведка проводилась примерно за пять месяцев до начала атаки, и прошло более двух часов, прежде чем станция восстановила некоторый контроль. Всего на 18 часов было отключено 12 телеканалов.

Tesco подверглась крупнейшей кибератаке в истории британского банка: было украдено около 2,5 млн фунтов стерлингов (3).Помимо ущерба репутации, Tesco грозит штраф в соответствии с Общими правилами защиты данных ЕС, который может достигать 2 миллиардов фунтов стерлингов. Финансовый сектор в четыре раза чаще подвергается кибератакам, чем другие сектора, а в 2016 году активность киберпреступников выросла на 40 процентов (4), нацеленных на отрасль финансовых услуг.

Программа-вымогатель
Эта цифра продолжает расти, по оценкам ФБР, в этом году она станет отраслью с оборотом в 1 миллиард долларов (5).Однако его «успех» во многом обусловлен человеческим фактором. Социальная инженерия и фишинг — два криминальных метода, которые зависят от плохого личного поведения или недостаточной осведомленности человека. Хотя многие думают, что пожилые люди более уязвимы, они никоим образом не являются единственной целью. Молодые люди могут быть технически подкованными, но они также более склонны к большему доверию и не знают о распространении угроз и средств нападения. По оценкам, одна из 20 учетных записей Twitter является поддельной учетной записью ботов, поэтому мы все должны осознавать опасность, которую представляют социальные сети, и скептически относиться к потенциально поддельным сайтам, предлагающим слишком хорошие, чтобы быть правдой, предложения о последних Raybans или соблазнительные ссылки. на Фейсбуке.

Несмотря на растущую осведомленность о киберугрозах, опасностях и рисках, которые имеются в большом количестве, человеческие слабости и побуждения будут продолжать создавать проблемы для руководителей бизнеса до конца 2017 года и в последующий период.

Автор

Крис Батлер — главный консультант, Sungard Availability Services.

Список литературы

  1. Отчет о тенденциях доступности сервисов доступности Sungard за 2016 г.
  2. http: // www.standard.co.uk/news/uk/nandos-diners-fury-as-restaurants-run-out-of-chicken-on-bank-holiday-a3432166.html
  3. https://www.theguardian.com/business/2016/nov/08/tesco-bank-cyber-thieves-25m 8.11.16
  4. https://cybernewsgroup.co.uk/merchants-and-financial-institutions-deal-with-escalating-cyber-attacks/
  5. http://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/

Определение бизнес-риска

Что такое бизнес-риск?

Бизнес-риск — это подверженность компании или организации факторам, которые снизят ее прибыль или приведут к краху.Все, что угрожает способности компании достичь своих финансовых целей, считается бизнес-риском. Есть много факторов, которые могут объединиться, чтобы создать бизнес-риск. Иногда именно высшее руководство или менеджмент компании создает ситуации, когда бизнес может подвергаться большей степени риска.

Однако иногда причина риска находится вне компании. Из-за этого компания не может полностью обезопасить себя от риска. Однако есть способы снизить общие риски, связанные с ведением бизнеса; большинство компаний добиваются этого за счет принятия стратегии управления рисками.

Ключевые выводы

  • Бизнес-риск — это любое воздействие на компанию или организацию факторов, которые могут снизить ее прибыль или привести к банкротству.
  • Источники бизнес-риска разнообразны, но могут варьироваться от изменений потребительских предпочтений и спроса, состояния экономики в целом и государственных правил и положений.
  • Хотя компании не могут полностью избежать бизнес-риска, они могут предпринять шаги для смягчения его воздействия, включая разработку плана стратегических рисков.

Понимание бизнес-рисков

Когда компания сталкивается с высокой степенью бизнес-риска, это может снизить ее способность обеспечивать инвесторам и заинтересованным сторонам адекватную прибыль. Например, генеральный директор компании может принимать определенные решения, влияющие на ее прибыль, или генеральный директор может неточно предвидеть определенные события в будущем, что приведет к убыткам или банкротству бизнеса.

Деловой риск зависит от ряда различных факторов, включая:

  • Потребительские предпочтения, спрос и объемы продаж
  • Цена за единицу продукции и производственные затраты
  • Конкуренция
  • Общий экономический климат
  • Постановления правительства

Компания с более высоким уровнем бизнес-риска может принять решение о принятии структуры капитала с более низким коэффициентом долга, чтобы гарантировать, что она может выполнять свои финансовые обязательства в любое время.При низком коэффициенте долга, когда доходы падают, компания может оказаться не в состоянии обслуживать свой долг (и это может привести к банкротству). С другой стороны, когда выручка увеличивается, компания с низким коэффициентом долга получает большую прибыль и способна выполнять свои обязательства.

Для расчета риска аналитики используют четыре простых коэффициента: маржа вклада, эффект операционного левериджа, эффект финансового левериджа и общий эффект левериджа. Для более сложных расчетов аналитики могут использовать статистические методы.Бизнес-риск обычно возникает одним из четырех способов: стратегический риск, риск соответствия, операционный риск и репутационный риск.

Виды бизнес-рисков

Стратегический риск

Стратегический риск возникает, когда бизнес не действует в соответствии со своей бизнес-моделью или планом. Когда компания не действует в соответствии со своей бизнес-моделью, ее стратегия со временем становится менее эффективной, и ей может быть сложно достичь поставленных целей. Если, например, Walmart стратегически позиционирует себя как недорогой провайдер, а Target решает снизить цены Walmart, это становится стратегическим риском для Walmart.

Риск соответствия

Вторая форма бизнес-риска называется комплаенс-риском. Риск соответствия в первую очередь возникает в отраслях и секторах, которые строго регулируются. Например, в винодельческой отрасли существует трехуровневая система распределения, которая требует от оптовиков в США продавать вино розничному торговцу (который затем продает его потребителям). Эта система запрещает винодельням продавать свою продукцию напрямую в розничные магазины в некоторых штатах.

Однако есть много U.С. заявляет, что не имеет такой системы распределения; Риск соответствия возникает, когда бренд не понимает индивидуальных требований государства, в котором он действует. В этой ситуации бренд рискует стать несоответствующим государственным законам о дистрибуции.

Операционный риск

Третий тип бизнес-риска — это операционный риск. Этот риск возникает внутри корпорации, особенно когда повседневные операции компании не выполняются.Например, в 2012 году многонациональный банк HSBC столкнулся с высокой степенью операционного риска и в результате получил крупный штраф от Министерства юстиции США, когда его внутренняя группа по борьбе с отмыванием денег не смогла должным образом остановить отмывание денег в Мексике. .

Репутационный риск

Каждый раз, когда репутация компании подрывается, будь то событие, которое было результатом предыдущего бизнес-риска, или другое происшествие, она рискует потерять клиентов и потерять лояльность к своему бренду.Репутация HSBC пошатнулась после наложения штрафа за ненадлежащие методы борьбы с отмыванием денег.

Особые соображения

Делового риска нельзя полностью избежать, потому что он непредсказуем. Однако существует множество стратегий, которые компании используют для снижения воздействия всех типов бизнес-рисков, включая стратегический, нормативный, операционный и репутационный.

Первым шагом, который обычно делают бренды, является определение всех источников риска в своем бизнес-плане.Это не только внешние риски — они также могут исходить из самого бизнеса. Ключевым моментом является принятие мер по снижению рисков, как только они возникают. Руководству следует разработать план действий по устранению любых идентифицируемых рисков до того, как они станут слишком большими.

После того, как руководство компании разработало план по устранению риска, важно, чтобы оно предприняло дополнительный шаг по документированию всего на случай, если такая же ситуация возникнет снова. В конце концов, бизнес-риск не статичен — он имеет тенденцию повторяться в течение бизнес-цикла.

Наконец, большинство компаний принимают стратегию управления рисками. Это можно сделать либо до того, как бизнес начнет работать, либо после того, как он потерпит неудачу. В идеале стратегия управления рисками поможет компании лучше подготовиться к тому, чтобы справляться с рисками в том виде, в каком они возникают. В плане должны быть проверены идеи и процедуры на случай возникновения риска.

Что такое управление рисками и почему это важно?

Управление рисками — это процесс выявления, оценки и контроля угроз капиталу и прибыли организации.Эти угрозы или риски могут происходить из самых разных источников, включая финансовую неопределенность, юридические обязательства, ошибки стратегического управления, аварии и стихийные бедствия. Угрозы ИТ-безопасности и риски, связанные с данными, а также стратегии управления рисками для их смягчения стали главным приоритетом для цифровых компаний. В результате план управления рисками все чаще включает в себя процессы компаний по выявлению и контролю угроз своим цифровым активам, включая конфиденциальные корпоративные данные, личную информацию (PII) клиента и интеллектуальную собственность.

Каждый бизнес и организация сталкиваются с риском неожиданных, вредных событий, которые могут стоить компании денег или привести к ее окончательному закрытию. Управление рисками позволяет организациям попытаться подготовиться к неожиданностям, минимизируя риски и дополнительные расходы до того, как они произойдут.

Содержание продолжается ниже

Важность

Реализуя план управления рисками и учитывая различные потенциальные риски или события до их возникновения, организация может сэкономить деньги и защитить свое будущее.Это связано с тем, что надежный план управления рисками поможет компании установить процедуры, позволяющие избегать потенциальных угроз, минимизировать их влияние в случае их возникновения и справляться с результатами. Эта способность понимать и контролировать риски позволяет организациям быть более уверенными в своих деловых решениях. Кроме того, строгие принципы корпоративного управления, в которых особое внимание уделяется управлению рисками, могут помочь компании достичь своих целей.

Другие важные преимущества управления рисками включают:

  • Создает безопасную и безопасную рабочую среду для всех сотрудников и клиентов.
  • Повышает стабильность деловых операций и снижает юридическую ответственность.
  • Обеспечивает защиту от событий, наносящих ущерб компании и окружающей среде.
  • Защищает всех вовлеченных людей и имущество от потенциального вреда.
  • Помогает определить потребности организации в страховании, чтобы сэкономить на ненужных страховых взносах.

Также была выявлена ​​важность сочетания управления рисками с безопасностью пациентов.В большинстве больниц и организаций отделы управления рисками и безопасности пациентов разделены; они включают различное руководство, цели и масштабы. Однако некоторые больницы признают, что способность оказывать безопасную и качественную помощь пациентам необходима для защиты финансовых активов и, как следствие, должна быть включена в систему управления рисками.

В 2006 году Медицинский центр Вирджинии Мейсон в Сиэтле, штат Вашингтон, интегрировал свои функции управления рисками в свой отдел безопасности пациентов, в конечном итоге создав методы управления производственной системой Вирджинии Мейсон (VMPS).VMPS фокусируется на постоянном улучшении системы безопасности пациентов за счет повышения прозрачности в снижении рисков, раскрытии информации и отчетности. С момента внедрения этой новой системы Вирджиния Мейсон испытала значительное сокращение медицинских премий и значительный рост культуры отчетности.

Стратегии и процессы управления рисками

Все планы управления рисками следуют одним и тем же этапам, которые вместе составляют общий процесс управления рисками:

  • Установить контекст. Поймите обстоятельства, при которых будет происходить остальная часть процесса. Следует также установить критерии, которые будут использоваться для оценки риска, и определить структуру анализа.
  • Идентификация рисков. Компания выявляет и определяет потенциальные риски, которые могут негативно повлиять на конкретный процесс или проект компании.
  • Анализ рисков. После выявления конкретных типов рисков компания определяет вероятность их возникновения, а также их последствия.Целью анализа рисков является более глубокое понимание каждого конкретного случая риска и того, как он может повлиять на проекты и цели компании.
  • Оценка и оценка рисков. Затем риск подвергается дальнейшей оценке после определения общей вероятности возникновения риска в сочетании с его общими последствиями. Затем компания может принять решение о том, является ли риск приемлемым и готова ли компания принять его, исходя из своего аппетита к риску.
  • Снижение риска . На этом этапе компании оценивают свои наивысшие риски и разрабатывают план их снижения с помощью специальных средств контроля рисков. Эти планы включают процессы снижения рисков, тактику предотвращения рисков и планы действий в чрезвычайных обстоятельствах на случай, если риск реализуется.
  • Мониторинг рисков . Часть плана смягчения последствий включает отслеживание как рисков, так и общего плана для постоянного мониторинга и отслеживания новых и существующих рисков. Следует также соответствующим образом пересмотреть и обновить общий процесс управления рисками.
  • Общайтесь и консультируйтесь. Внутренние и внешние акционеры должны участвовать в обмене информацией и консультациях на каждом соответствующем этапе процесса управления рисками и в отношении процесса в целом.

Стратегии управления рисками также должны пытаться ответить на следующие вопросы:

  1. Что может пойти не так? Рассматривайте как рабочее место в целом, так и индивидуальную работу.
  2. Как это повлияет на организацию? Учитывайте вероятность события и его влияние.
  3. Что можно сделать? Какие шаги можно предпринять, чтобы предотвратить потерю? Что можно сделать для восстановления, если убыток все же произошел?
  4. Если что-то случится, как организация за это заплатит?

Подходы к управлению рисками

После того, как конкретные риски компании определены и процесс управления рисками внедрен, существует несколько различных стратегий, которые компании могут использовать в отношении различных типов рисков:

  • Избежание рисков . Хотя полное устранение всех рисков редко возможно, стратегия предотвращения рисков разработана для отражения как можно большего числа угроз, чтобы избежать дорогостоящих и разрушительных последствий разрушительного события.
  • Снижение риска . Иногда компаниям удается уменьшить размер ущерба, который определенные риски могут нанести процессам компании. Это достигается путем корректировки определенных аспектов общего плана проекта или процесса компании или путем сокращения его объема.
  • Разделение рисков. Иногда последствия риска распределяются между несколькими участниками проекта или бизнес-подразделениями. Риск также может быть разделен с третьей стороной, такой как поставщик или деловой партнер.
  • Сохранение риска. Иногда компании решают, что риск стоит того с точки зрения бизнеса, и решают сохранить риск и справиться с любыми потенциальными последствиями. Компании часто сохраняют определенный уровень риска, если ожидаемая прибыль проекта превышает стоимость его потенциального риска.

Ограничения

Хотя управление рисками может быть чрезвычайно выгодной практикой для организаций, следует также учитывать его ограничения. Многие методы анализа рисков, такие как создание модели или симуляция, требуют сбора больших объемов данных. Такой обширный сбор данных может быть дорогостоящим, и его надежность не гарантируется.

Кроме того, использование данных в процессах принятия решений может иметь плохие результаты, если простые показатели используются для отражения гораздо более сложных реалий ситуации.Точно так же принятие решения на протяжении всего проекта, предназначенного для одного небольшого аспекта, может привести к неожиданным результатам.

Еще одно ограничение — отсутствие аналитических навыков и времени. Компьютерные программы были разработаны для моделирования событий, которые могут оказать негативное влияние на компанию. Хотя эти сложные программы рентабельны, они требуют обученного персонала со всесторонними навыками и знаниями, чтобы точно понимать полученные результаты. Анализ исторических данных для выявления рисков также требует высококвалифицированного персонала.Эти люди не всегда могут быть задействованы в проекте. Даже если это так, часто не хватает времени, чтобы собрать все результаты, что приводит к конфликтам.

Другие ограничения включают:

  • Ложное чувство стабильности. При оценке стоимости, подверженной риску, основное внимание уделяется прошлому, а не будущему. Таким образом, чем дольше дела идут гладко, тем лучше выглядит ситуация. К сожалению, это увеличивает вероятность спада.
  • Иллюзия контроля. Модели рисков могут дать организациям ложное убеждение, что они могут количественно оценить и регулировать каждый потенциальный риск. Это может заставить организацию пренебречь возможностью новых или неожиданных рисков. Кроме того, для новых продуктов нет исторических данных, поэтому нет опыта, на котором можно было бы основывать модели.
  • Неспособность увидеть общую картину. Трудно увидеть и понять полную картину совокупного риска.
  • Управление рисками еще недостаточно развито. Политики управления рисками в организации недостаточно развиты и не имеют достаточного опыта для проведения точных оценок.

Стандарты управления рисками

С начала 2000-х годов несколько отраслевых и государственных органов расширили правила соблюдения нормативных требований, которые тщательно проверяют планы, политики и процедуры компаний по управлению рисками. Во все большем числе отраслей от советов директоров требуется проверять и отчитываться об адекватности процессов управления рисками предприятия.В результате анализ рисков, внутренний аудит и другие средства оценки рисков стали основными компонентами бизнес-стратегии.

Стандарты управления рисками были разработаны несколькими организациями, включая Национальный институт стандартов и технологий (NIST) и Международную организацию по стандартизации (ISO). Эти стандарты разработаны, чтобы помочь организациям идентифицировать конкретные угрозы, оценивать уникальные уязвимости для определения их риска, определять способы снижения этих рисков, а затем реализовывать усилия по снижению рисков в соответствии со стратегией организации.

Принципы ISO 31000, например, обеспечивают основу для улучшения процессов управления рисками, которые могут использоваться компаниями независимо от размера организации или целевого сектора. Согласно веб-сайту ISO, стандарт ISO 31000 разработан, чтобы «увеличить вероятность достижения целей, улучшить идентификацию возможностей и угроз, а также эффективно распределять и использовать ресурсы для обработки рисков». Хотя ISO 31000 не может использоваться для целей сертификации, он может помочь предоставить руководство по внутреннему или внешнему аудиту рисков, а также позволяет организациям сравнивать свои методы управления рисками с международно признанными эталонами.

ISO рекомендует следующие целевые области или принципы, которые должны быть частью общего процесса управления рисками:

  • Процесс должен создавать ценность для организации.
  • Он должен быть неотъемлемой частью общего организационного процесса.
  • Это должно влиять на общий процесс принятия решений в компании.
  • Он должен явно учитывать любую неопределенность.
  • Он должен быть систематическим и структурированным.
  • Он должен быть основан на наилучшей имеющейся информации.
  • Он должен быть адаптирован к проекту.
  • Необходимо учитывать человеческий фактор, в том числе возможные ошибки.
  • Он должен быть прозрачным и всеобъемлющим.
  • Он должен быть адаптирован к изменениям.
  • Его следует постоянно контролировать и улучшать.

Стандарты ISO и другие подобные стандарты были разработаны во всем мире, чтобы помочь организациям систематически внедрять передовые методы управления рисками. Конечная цель этих стандартов — установить общие рамки и процессы для эффективной реализации стратегий управления рисками.

Эти стандарты часто признаются международными регулирующими органами или целевыми отраслевыми группами. Они также регулярно дополняются и обновляются, чтобы отражать быстро меняющиеся источники бизнес-рисков. Хотя соблюдение этих стандартов обычно является добровольным, соблюдение может потребоваться отраслевыми регулирующими органами или посредством деловых контрактов.

Примеры управления рисками

Одним из примеров управления рисками может быть бизнес, выявляющий различные риски, связанные с открытием нового офиса.Они могут снизить риски, выбрав места с высокой проходимостью и низкой конкуренцией со стороны аналогичных предприятий в этом районе.

Другим примером может быть открытый парк развлечений, который осознает, что их бизнес полностью зависит от погоды. Чтобы снизить риск крупного финансового удара в плохой сезон, парк может постоянно тратить небольшие средства и наращивать денежные резервы.

Еще одним примером может быть инвестор, покупающий акции новой интересной компании с высокой оценкой, даже если они знают, что акции могут значительно упасть.В этой ситуации принятие риска отображается, когда инвестор покупает, несмотря на угрозу, чувствуя, что потенциал крупного вознаграждения перевешивает риск.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *