Что такое драйвер риска
ГОСТ Р МЭК 31010-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Надежность в технике
МЕТОДЫ ОЦЕНКИ РИСКА
Dependability in technics. Risk assessment techniques
Дата введения 2022-01-01
Предисловие
1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 "Надежность в технике"
4 Настоящий стандарт идентичен международному стандарту МЭК 31010:2019* "Менеджмент риска. Технологии оценки риска" (IEC 31010:2019 "Risk management - Risk assessment techniques", IDT).
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Международный стандарт разработан Техническим комитетом IEC/TC 56.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
В настоящем стандарте приведено руководство по выбору и применению различных методов, способствующих пониманию риска и учету соответствующей неопределенности.
Эти методы используют:
- в ситуациях, где необходимо более глубокое понимание существующего или другого конкретного риска;
- при принятии решения по результатам сопоставления вариантов, каждому из которых соответствует свой риск, или оптимизации риска;
- в процессе менеджмента риска при выполнении действий по обработке риска.
Эти методы используют на этапах оценки риска, связанных с идентификацией, анализом и сравнительной оценкой риска в соответствии с ИСО 31000, и в более общем случае для понимания неопределенности и ее последствий.
Методы, приведенные в настоящем стандарте, могут быть использованы в широком диапазоне ситуаций в основном в технической области. Некоторые методы похожи по концепции, но имеют различные наименования и методологию, отражающую историю их разработки в различных странах. Методы продолжают развиваться, и многие из них могут быть использованы в широком диапазоне ситуаций, выходящих за границы их первоначального применения. Методы могут быть адаптированы, объединены и применены по-новому или распространены на новые области применения в соответствии с текущими и будущими потребностями.
Настоящий стандарт представляет собой введение в избранные методы и включает в себя сопоставление вариантов их применения, преимуществ и ограничений. В стандарте приведены ссылки на источники более подробной информации.
Пользователями настоящего стандарта являются:
- все участники действий по оценке и менеджменту риска;
- специалисты, участвующие в разработке руководства по оценке риска в конкретных условиях;
- специалисты, принимающие решения в условиях неопределенности, включая:
- специалистов, выполняющих сравнительную оценку риска или назначающих исполнителей такой оценки,
- специалистов, анализирующих и интерпретирующих результаты оценок,
- специалистов, осуществляющих выбор методов оценки в соответствии с конкретными требованиями.
Организации, которые обязаны проводить оценку рисков на соответствие установленным требованиям или целям, получат преимущества при использовании соответствующих стандартизированных методов оценки риска.
Стандарт в первую очередь предназначен для организаций, взаимодействующих с зарубежными партнерами, которые, как правило, не признают применения неидентичных национальных стандартов. Эти проблемы не позволяет решить ГОСТ Р 58771, при разработке которого были использованы основные положения МЭК 31010.
1 Область применения
Настоящий стандарт устанавливает руководство по выбору и применению методов оценки риска в широком диапазоне ситуаций. Эти методы используют при принятии решений в условиях неопределенности, для получения информации о конкретных видах риска при выполнении процесса менеджмента риска. В стандарте приведено краткое описание ряда методов со ссылками на документы, содержащие более подробную информацию.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
ISO Guide 73:2009, Risk management - Vocabulary (Менеджмент риска. Термины и определения)
ISO 31000:2018, Risk management - Guidelines (Менеджмент риска. Принципы и руководство)
3 Термины и определения
В настоящем стандарте применены термины по ИСО 31000:2018, Руководству ИСО 73:2009, а также следующие термины с соответствующими определениями.
Терминологические базы данных ИСО и МЭК доступны по следующим интернет-адресам:
3.1 правдоподобность (появления события) (likelihood): Характеристика возможности и частоты появления события.
Примечание 1 - В менеджменте риска термин "правдоподобность" используют как характеристику возможности появления события, которая может быть определенной или неопределенной, измеримой или неизмеримой, объективной или субъективной, иметь качественную или количественную оценку и может быть выражена математически (как вероятность или частота за установленный период времени).
Примечание 2 - Английский термин "правдоподобность" не имеет прямого эквивалента в некоторых языках, вместо которого в этом случае применяют термин "вероятность". В английском языке термин "вероятность" часто применяют как чисто математический термин. Таким образом, в области управления риском в части терминологии термин "вероятность" использован в более широком смысле, чем в других языках, кроме английского.
[ИСО 31000:2018, 3.7]
3.2 возможность (opportunity): Сочетание обстоятельств, которое, как ожидается, будет благоприятно для достижения целей.
Примечание 1 - Возможность - это позитивная ситуация, в которой вероятно получение преимуществ и над которой существует объективный контроль.
Примечание 2 - Возможность для одной стороны может быть угрозой для другой стороны.
Примечание 3 - Как использование, так и неиспользование возможности являются источниками риска.
3.3 вероятность (probability): Мера возможности появления события, выражаемая действительным числом из интервала от 0 до 1, где 0 соответствует невозможному, а 1 - достоверному событию.
Примечание - См. определение 3.1, примечание 2.
3.4 драйвер риска (risk driver, driver of risk): Фактор, оказывающий основное влияние на риск.
3.5 угроза (threat): Потенциальный источник опасности, вреда или другого нежелательного результата.
Примечание 1 - Угроза - негативная ситуация, в которой вероятны потери и которую человек плохо контролирует.
Примечание 2 - Угроза для одной стороны может создавать возможности для другой стороны.
4 Основные концепции
4.1 Неопределенность
Неопределенность - это термин, охватывающий многие основные понятия. Было предпринято много попыток, которые продолжаются по классификации типов неопределенности, включая:
- неопределенность, которая характеризует внутреннюю изменчивость некоторых явлений и не может быть уменьшена в результате дальнейших исследований; например, бросание кубиков (иногда такую неопределенность называют алеаторной неопределенностью);
- неопределенность, которая обычно возникает из-за недостатка знаний (и поэтому может быть уменьшена при получении большего количества данных), уточнения моделей, совершенствования методов отбора проб и т.д. (иногда такую неопределенность называют эпистемической неопределенностью).
Другие общеизвестные формы неопределенности охватывают:
- лингвистическую неопределенность, которая характеризует двусмысленность, присущую разговорной речи;
- неопределенность принятия решений, имеющую особое значение для стратегий менеджмента риска и характеризующую неопределенность, связанную с системами ценностей, профессиональными суждениями, ценностями организации и социальными нормами.
Примерами неопределенности являются:
- неопределенность в отношении истинности предположений, включая предположения о поведении людей или функционировании системы;
- вариабельность параметров, на которых основано принятие решения;
- неопределенность в достоверности или точности моделей, используемых для прогнозирования;
- события (включая изменение обстоятельств или условий), их возникновение, особенности или последствия;
- неопределенность, связанная с разрушительными событиями;
- неопределенные результаты проблем в системе, таких как недостаток компетентного персонала, которые могут иметь широкий диапазон воздействий, четкое определение которых невозможно;
- недостаток знаний, возникающий, когда наличие неопределенности признано, но непонятно;
- неопределенность, возникающая из-за ограниченности человеческого мышления, например в понимании сложных данных, прогнозировании ситуации с долгосрочными последствиями или формировании объективных выводов.
Не все типы неопределенности могут быть понятны, значение неопределенности может быть трудно или невозможно определить и изменить. Однако признание того, что неопределенность существует в конкретных условиях, позволяет создавать системы раннего обнаружения изменений и принятия мер для повышения устойчивости к неожиданным ситуациям.
4.2 Риск
Риск охватывает воздействие на цели всех форм неопределенности, описанных в 4.1. Воздействие неопределенности может привести к положительным или отрицательным последствиям или к тем и другим одновременно.
Риск часто описывают в терминах источников риска, возможных событий, их последствий и вероятности этих последствий. Событие может иметь несколько причин и привести к нескольким последствиям. Последствия могут быть описаны переменными различного вида, дискретными, непрерывными или неизвестными. Вначале последствия могут быть неразличимыми и не поддающимися оценке, но со временем они могут накапливаться. Источники риска могут иметь присущую им изменчивость или неопределенность, связанную с целым рядом факторов, включая поведение людей, структуру организации, социальные воздействия, для которых может быть трудно предсказать какое-либо конкретное событие, которое может произойти. Отсюда следует, что риск не всегда можно легко свести в таблицу в виде набора событий, их последствий и вероятностей.
Методы оценки риска направлены на то, чтобы помочь людям осознать неопределенность и соответствующий риск в сложных и разнообразных условиях с целью обеспечения информацией принятие решений и выполнение действий.
Risk — takers redirects here. For the Canadian television program, see Risk Takers. For other uses, see Risk (disambiguation). Risk is the potential that a chosen action or activity (including the choice of inaction) will lead to a loss (an undesirable… … Wikipedia
Driver's education — or driver s ed is a formal class or program that prepares a new driver to obtain a learner s permit or driver s license. It may take place in a classroom, in a vehicle, online, or a combination of the above. Topics of instruction include traffic… … Wikipedia
Driver License Agreement — In the USA, the Driver License Agreement (DLA) is a new interstate compact written by the Joint Executive Board of the Driver License Compact (DLC) and the Non Resident Violator Compact (NRVC) with staff support provided by the American… … Wikipedia
Risk compensation — In ethology, risk compensation is an effect whereby individual people may tend to adjust their behavior in response to perceived changes in risk. It is seen as self evident that individuals will tend to behave in a more cautious manner if their… … Wikipedia
Auto insurance risk selection — is the process by which vehicle insurers determine whether or not to insure an individual and what insurance premium to charge. Depending on the jurisdiction, the insurance premium can be either mandated by the government or determined by the… … Wikipedia
Coalition for a Secure Driver's License — Abbreviation CSDL Motto Working to Protect The Identity of Every American Formation No … Wikipedia
assigned risk — n: a poor risk (as an accident prone driver) that insurance companies would normally reject but are forced to insure by state law Merriam Webster’s Dictionary of Law. Merriam Webster. 1996. assigned risk … Law dictionary
Truck driver — A truck driver (Commonly called a trucker, driver or teamster in the United States and Canada, a truckie or ute driver in Australia and New Zealand and a lorry driver or driver in Ireland and the United Kingdom) is a person who earns a living as… … Wikipedia
Investor Network on Climate Risk — The Investor Network on Climate Risk is a network of investors and financial institutions that promotes better understanding of the financial risks and investment opportunities posed by climate change. INCR is coordinated by Ceres, a coalition of … Wikipedia
SCG International Risk — SCG International is a private military contractor and security firm based in the U.S. states of Mississippi, California and Virginia with satellite support offices in Kabul, Dubai and London. The company describes itself as providing support to… … Wikipedia
Дра́йвер (англ. driver , мн. ч. дра́йверы [1] ) — компьютерная программа, с помощью которой другие программы (обычно операционная система) получают доступ к аппаратному обеспечению некоторого устройства. Обычно с операционными системами поставляются драйверы для ключевых компонентов аппаратного обеспечения, без которых система не сможет работать. Однако для некоторых устройств (таких, как видеокарта или принтер) могут потребоваться специальные драйверы, обычно предоставляемые производителем устройства.
В общем случае драйвер не обязан взаимодействовать с аппаратными устройствами, он может их только имитировать (например, драйвер принтера, который записывает вывод из программ в файл), предоставлять программные сервисы, не связанные с управлением устройствами (например, /dev/zero в Unix, который только выдаёт нулевые байты), либо не делать ничего (например, /dev/null в Unix и NUL в DOS/Windows).
Содержание
Идеология построения драйверов
Операционная система управляет некоторым «виртуальным устройством», которое понимает стандартный набор команд. Драйвер переводит эти команды в команды, которые понимает непосредственно устройство. Эта идеология называется «абстрагирование от аппаратного обеспечения». Впервые в отечественной вычислительной технике подобный подход появился в серии ЕС ЭВМ, а такого рода управляющие программы назывались канальными программами.
Драйвер состоит из нескольких функций, которые обрабатывают определенные события операционной системы. Обычно это 7 основных событий:
- Загрузка драйвера. Тут драйвер регистрируется в системе, производит первичную инициализацию и т. п.
- Выгрузка. Драйвер освобождает захваченные ресурсы — память, файлы, устройства и т. п.
- Открытие драйвера. Начало основной работы. Обычно драйвер открывается программой как файл, функциями CreateFile() в Win32 или fopen() в UNIX-подобных системах.
- Чтение.
- Запись: программа читает или записывает данные из/в устройство, обслуживаемое драйвером.
- Закрытие: операция, обратная открытию, освобождает занятые при открытии ресурсы и уничтожает дескриптор файла.
- Управление вводом-выводом (англ.IO Control, IOCTL ). Зачастую драйвер поддерживает интерфейс ввода-вывода, специфичный для данного устройства. С помощью этого интерфейса программа может послать специальную команду, которую поддерживает данное устройство. Например, для SCSI-устройств можно послать команду GET_INQUIRY, чтобы получить описание устройства. В Win32-системах управление осуществляется через API-функцию DeviceIoControl() . В UNIX-подобных — ioctl() .
Интеграция драйверов
По мере развития систем, сочетающих в себе на одной плате не только центральные элементы компьютера, но и большинство устройств компьютера в целом, возник вопрос удобства поддержки таких систем, получивших название «аппаратная платформа», или просто «платформа».
Сначала производители платформ поставляли набор отдельных драйверов для операционных систем, собранный на один носитель (обычно компакт-диск), Затем появились установочные пакеты, называвшиеся 4-in-1 и One touch, и позволявшие упростить установку драйверов в систему. При этом, как правило, можно выбрать либо полностью автоматическую установку всех драйверов, либо выбрать вручную нужные. Однако единого, устоявшегося термина долго не было.
Современный термин, описывающий такие наборы драйверов устройств — Board Support Package, или «пакет поддержки платформы». Помимо собственно драйверов, он может, как и прочие установочные пакеты, содержать модули операционной системы и программы.
· Характеристики клиента - риски связались со сложностью клиента и способности разработчика связаться с клиентом в своевременной манере.
· Определение процесса - риски, связанные со степенью, к которой программный процесс был определен и сопровождаются организацией развития.
· Среда развития - риски связались с пригодностью и качеством инструментальных средств, которые используются, чтобы строить изделие.
· Технология, которая будет построена - риски связались со сложностью системы, которая будет построена и "новизна" технологии, которая пакетирована системой.
· Количество и опыт персонала - риски связались с полным техническим и проектным опытом программных инженеров, которые сделают работу.
Контрольный список элемента риска может быть организован различными способами. Вопросам, уместным каждой из тем можно ответить для каждого программного проекта. Ответы на эти вопросы позволяют планировщику оценивать воздействие риска. Различный формат контрольного списка элемента риска просто перечисляет характеристики, которые являются уместными каждой родовой подкатегории. Наконец, набор "компонентов риска и драйверов" перечислен наряду с их вероятностью возникновения. Драйверы для работы, поддержки, стоимости, и списка обсуждены в ответе на более поздние вопросы.
Множество всесторонних контрольных списков для программного проектного риска было предложено в литературе. Они обеспечивают полезное понимание родовые риски для программных проектов и должны использоваться всякий раз, когда анализ риска и управление назначены. Однако, относительно короткий список вопросов может использоваться, чтобы обеспечить предварительный признак того, является ли проект "в опасности. "
5.2.1 Оценка Полного Проектного Риска
Следующие вопросы происходили из данных риска, полученных, рассматривая опытных программных менеджеров проектов в различной части мира. Вопросы заказываются их относительной важностью успеху проекта.
Имейте менеджеры ПО и клиента формально передали поддерживать проект?
Конечные пользователи с энтузиазмом совершены проекту и системе/изделию, которая будет построена?
Требования полностью поняты программным обеспечением техническая группа и их клиенты?
Клиенты были вовлечены полностью на определении требований?
Конечные пользователи имеют реалистические ожидания?
Действительно ли проектные возможности устойчивы?
Программное обеспечение техническая группа имеет правильное соединение навыков?
Действительно ли проектные требования устойчивы?
Проектная группа имеет опыт с технологией, которая будет осуществлена?
Число имеет людей на проектной группе, адекватной сделать работу?
Все избирательные округа клиента/пользователя договариваются о важности проекта и на требованиях для системы/изделия, которая будет построена?
5.2.2 Компоненты Риска и Драйверы
Американские Воздушные силы написали брошюру, которая содержит превосходные рекомендации для программной идентификации риска и уменьшения. Подход Воздушных сил требует, чтобы менеджер проектов идентифицировал драйверы риска, которые затрагивают программную работу компонентов риска, стоят, поддерживают, и список. В контексте этого обсуждения, компоненты риска определены в следующей манере:
· Риск работы - степень неуверенности, что изделие встретит его требования и будет пригодно для его предназначенного использования.
Внутренние и внешние условия деятельности предприятий меняются все более динамично, поэтому необходимо комплексно решать вопросы по управлению рисками. Об одном из подходов на конкретном примере рассказывает Наталья Алиасхабова, начальник отдела риск-менеджмента АО «Объединенная зерновая компания».
Процесс управления рисками в организации стал неотъемлемой частью деятельности, обеспечивающей существование того или иного бизнеса. Классическая модель управления рисками, являющаяся лишь частью корпоративного управления, из года в год теряет свою ценность и актуальность. Риски возникают на всех этапах цепочки создания стоимости и в каждом бизнес-процессе организации. Следовательно, чтобы система способствовала достижению поставленных перед организацией целей, она должна быть интегрирована в бизнес-процессы организации и транслирована на все уровни принятия решений.
Таким образом, интегрированная система управления рисками подразумевает под собой целесообразное объединение материальных, интеллектуальных, информационных и других ресурсов организации для выявления, оценки и прогнозирования рисков, влияющих на достижение стратегических и операционных целей организации.
Интегрированная система управления рисками: важные характеристики
Ключевые особенности интегрированной системы управления рисками можно сформулировать с помощью следующих утверждений:
управление рисками осуществляется на всех уровнях и во всех бизнес-процессах;
управление рисками — задача и ответственность каждого сотрудника.
На практике такая система представляет собой процесс, представленный на рис. 1. Риск возникает в определенном бизнес-процессе, и управление этим риском осуществляется работниками в рамках своей деятельности. Таким образом, риски на уровне бизнес-процессов своевременно выявлены и идентифицированы. По результатам идентификации рисков определяются необходимые мероприятия по их предупреждению. Каждый идентифицированный риск покрывает тот или иной драйвер достижения стратегической цели компании, что позволяет этому драйверу быть достигнутым. И в конечном результате создаются условия для достижения стратегических целей компании.
Приведу практический пример функционирования интегрированной системы «сверху вниз» (рис. 2).
Установлено, что одной из стратегических целей организации является «развитие инфраструктуры зернового рынка». Для того чтобы указанная цель была достигнута, целесообразно определить драйверы (индивидуальные и общие) ее достижения. В результате проведенного анализа было установлено, что основными индивидуальными драйверами являются «увеличение мощностей по перевалке сельскохозяйственных грузов» и «строительство экспортно-импортного комплекса по перевалке сельскохозяйственной продукции». Также были выделены общие драйверы достижения стратегических целей организации (влияют на все стратегические цели организации), а именно, «непрерывная инфраструктура», «принятие верных управленческих решений», «влияние геополитического фактора», «благоприятные рыночные условия», «влияние человеческого фактора» и т.д. После того как все индивидуальные и общие драйверы достижения стратегической цели определены, начинается процесс выявления рисков этих драйверов. Итогом реализации процесса выявления и анализа рисков драйверов достижения стратегических целей является «покрытие» всех драйверов рисками. Например, драйвер «благоприятные рыночные условия» взаимосвязан с такими рисками, как «ухудшение рыночной конъюнктуры» и «валютный риск». Управление «валютным риском» лежит в зоне ответственности финансового блока, в частности, управление валютными остатками и заключение сделок хеджирования. Таким образом, эффективность и результат работы финансового блока по снижению влияния валютного риска способствует достижению стратегической цели.
Основные задачи и процедуры по построению целостной системы управления рисками
Как было сказано выше, для того чтобы внедрить интегрированный подход, необходимо решить две ключевые задачи:
Управление рисками осуществляется на всех уровнях и во всех бизнес-процессах (то есть с точки зрения компании в целом).
Управление рисками — задача и ответственность каждого сотрудника.
Для того чтобы организовать процесс управления рисками на всех уровнях и во всех бизнес-процессах, необходимо организовать все формальные процедуры для внедрения и развития системы, а именно:
разработать нормативную документацию по управлению рисками и закрепить зоны ответственности;
провести мероприятия по выявлению и оценке рисков с целью формирования «карты рисков» организации;
создать структурное подразделение по управлению рисками либо назначить лицо, ответственное за внедрение и сопровождение процесса в организации;
организовать обучение управлению рисками, настроить коммуникации между подразделениями по вопросам управления рисками и т.д.
Выполнение первой задачи позволит обеспечить функционирование системы на корпоративном уровне. Этот этап так или иначе проходят все компании, в которых существует классическая система управления рисками. Однако такая система является скорее «информационной», нежели «рабочей». Она способствует вынесению соответствующих сведений о рисках компании на рассмотрение органов управления, но не позволяет управлять рисками в режиме реального времени и на более низком уровне.
Как мотивировать сотрудников участвовать в управлении рисками
На мой взгляд, намного сложнее решить вторую задачу, а именно: донести до персонала, что управление рисками — это задача и ответственность каждого работника компании. Чтобы решить указанную задачу и достичь поставленной цели, необходимо мотивировать работников управлять своими рисками и участвовать в процессе. В моей практике эффективность продемонстрировали следующие шесть шагов (этапов) по решению данной задачи:
1. Убедить работников организации в том, что риск-менеджмент — эффективный инструмент для отстаивания своих интересов.
У работников не будет мотивации управлять своими рисками, если они не понимают и не верят в полезность риск-менеджмента, в частности, в полезность для конкретного сотрудника. Для этого можно продемонстрировать полезность системы управления рисками на примере взаимосвязи «карты рисков» и бюджета. Если заложить расход на то или иное мероприятие в бюджет и зафиксировать его в «карте рисков» в качестве мероприятия по нивелированию риска, то вероятность несогласования заложенного расхода (в случае перестановки приоритетов руководством) значительно снижается.
Например, финансовая служба осуществляет мероприятия по снижению влияния «валютного риска» на деятельность компании. Совет директоров утвердил в составе «карты рисков» применение инструментов хеджирования с целью снижения влияния валютного риска. Руководитель финансовой службы понимает, что неплохо было бы организовать обучение в части хеджирования. Поэтому он закладывает расходы на обучение в бюджет следующего года, а также фиксирует в «карте рисков» обучение в качестве мероприятия по снижению риска (рис. 3).
Однако, принимая такое решение, руководство учитывает, что его действия приведут к невыполнению мероприятия по снижению риска и данная информация будет озвучена на совете директоров. Следовательно, руководству легче не отклоняться от запланированного мероприятия и выделить деньги на конференцию из другой статьи бюджета. Таким образом, цель руководителя финансовой службы в части прохождения обучения по применению инструментов хеджирования достигнута.
2. Увязать ответственность за управление рисками с ключевыми показателями эффективности.
Ключевые показатели эффективности (КПЭ) были, есть и будут основным инструментом, определяющим эффективность работы руководителя/подразделения/работника. Привязка КПЭ к рискам позволит повысить эффективность процесса и увеличить вовлеченность в него каждого сотрудника. Приведем примеры некоторых КПЭ:
количество невыполненных мероприятий за год, утвержденных в «карте рисков»;
количество реализовавшихся рисков из числа невыявленных;
количество неисполненных мероприятий по снижению вероятности реализации риска, с негативным прогнозом (высокая вероятность реализации);
своевременное предоставление информации по рискам.
3. Наделить комитет по рискам полномочиями принимать управленческие решения по операционным вопросам.
Важным шагом на пути к интегрированной системе управления рисками является создание рабочего органа (комитета по рискам), не только рассматривающего «отчеты по рискам», но и принимающего управленческие решения по основным операционным вопросам. В данный орган должны входить представители ключевых бизнес-процессов. Это позволит принимать все важные решения с учетом не только заключений риск-менеджмента, но и ключевых бизнес-направлений, обеспечивая таким образом детальную проработку каждого принятого решения. Зона ответственности и основные функции комитета по рискам представлены на рис. 4.
4. Продемонстрировать связь каждого риска с достижением стратегических целей.
Данный шаг позволит «прочувствовать» участие каждого работника в достижении стратегических целей компании (рис. 5). Эта информация полезна как на уровне совета директоров (демонстрация полноты системы), так и на уровне работника, отвечающего за мероприятия (демонстрация влияния его действий на достижение целей компании).
5. Произвести финансовую оценку каждого риска.
Зачастую оценкой рисков занимаются сами владельцы рисков. Быть может, в теории это и правильное решение. Но, как показывает практика, у владельцев рисков достаточно редко проявляется заинтересованность в качественной оценке своих рисков. И для того чтобы избежать метода оценки «пальцем в небо», эффективным будет не «заставлять» владельца производить финансовую оценку своего риска, а «согласовать» предлагаемый подход к оценке (рис. 6). Таким образом, владелец риска сможет «ощутить», сколько стоит риск, лежащий в зоне его ответственности.
6. Статус по рискам выносится на совет директоров.
Важно определить конечного пользователя системы управления рисками. Для многих компаний вынесение информации по рискам на обсуждение органов управления носит формальный характер, однако без включения в процесс высших органов управления система может просто не работать, не говоря уже о снижении качества предоставляемой информации и уровня ответственности.
Помимо информации о событиях, произошедших в отчетном периоде, принципиально важно выносить информацию по рискам на текущий момент. Это позволит органам управления видеть картину по рискам на сегодняшний день и быть в курсе основных процессов, протекающих в организации. Ко всему прочему, органам управления важно знать, какие риски могут реализоваться в краткосрочном периоде и какие действия менеджмент предпринимает для недопущения их реализации. Такую информацию целесообразно выносить в виде прогнозов с использованием ключевых индикаторов рисков — метрик, используемых для обеспечения раннего оповещения о возрастающей подверженности риску, в том числе плохо поддающемуся количественному анализу в различных областях деятельности АО.
Перечень шагов по построению целостной системы управления рисками, представленный в этой статье, не является исчерпывающим. Для различных компаний и сфер бизнеса одни и те же шаги будут актуальны в разной степени. Соответственно, перед тем как начать выстраивать интегрированную систему управления рисками в компании, разумно было бы сопоставить желаемые результаты от внедрения системы и те материальные, информационные, интеллектуальные и прочие ресурсы, которые потребуются для решения этой задачи.
Читайте также: