Система управления рисками компании. Построение систем управления рисками Деятельность по управлению рисками

Управление рисками - это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.

Процесс управления рисками проекта обычно включает выполнение следующих процедур:

1. Планирование управления рисками - выбор подходов и планирование деятельности по управлению рисками проекта.

2. Идентификация рисков - определение рисков, способных повлиять на проект, и документирование их характеристик.

3. Качественная оценка рисков - качественный анализ рисков и условий их возникновения с целью определения их влияния на успех проекта.

4. Количественная оценка - количественный анализ вероятности возникновения и влияния последствий рисков на проект.

5. Планирование реагирования на риски - определение процедур и методов по ослаблению отрицательных последствий рисковых событий и использованию возможных преимуществ.

6. Мониторинг и контроль рисков - мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков.

Все эти процедуры взаимодействуют друг с другом, а также с другими процедурами. Каждая процедура выполняется, по крайней мере, один раз в каждом проекте.

Система управления риском может обеспечивать выполнение целого ряда управленческих целей организации. Она может выступать в качестве основы всей управленческой деятельности, на ее базе строится управленческая стратегия и система контроля.

Система управления рисками предполагает всесторонний анализ совокупности имеющихся рисков, их идентификацию, оценку и выработку механизмов контроля. Требование системного подхода предполагает максимальный охват всех видов риска.

МЕТОДЫ УПРАВЛЕНИЯ РИСКАМИ

В условиях действия разнообразных внешних и внутренних факторов риска могут использоваться различные способы снижения риска, воздействующие на те или иные стороны деятельности предприятия.

Многообразие применяемых в предпринимательской деятельности методов управления риском можно разделить на 4 группы.

Методы управления рисками:

1) методы уклонения от рисков ;

2) методы локализации рисков ;

3) методы диверсификации рисков ;

4) методы компенсации рисков .

Рассмотрим более подробно способы управления риском как методы уклонения от риска.

Методы уклонения от риска наиболее распространены в хозяйственной практике, ими пользуются предприниматели, предпочитающие действовать наверняка.

Методы уклонения от риска подразделяются на:

· отказ от ненадежных партнеров, т.е. стремление работать только с надежными, проверенными партнерами, не расширение круга партнеров; отказ от участия в проектах, связанных с необходимостью расширить круг партнеров, отказ от инвестиционных и инновационных проектов, уверенность в выполнимости или эффективности которых вызывает сомнения;

· отказ от рискованных проектов, т.е. отказ от инновационных и иных проектов, реализуемость или эффективность, которых вызывает сомнение;

· страхование рисков, основной прием снижения риска, страхование вероятных потерь служит не только надежной защитой от неудачных решений, но и повышает ответственность лиц, принимающих решения, принуждая их серьезнее относится к разработке и принятию решений, регулярно проводить защитные мероприятия в соответствии со страховыми контрактами. Правда, трудно использовать механизм страхования при освоении новой продукции или новых технологий, так как страховые компании не располагают в таких случаях достаточными данными для проведения расчетов;

· поиск гарантов, т.о. при поиске гарантов, как и при страховании, целью является перенос риска на какое-либо третье лицо. Функции гаранта могут выполнять различные субъекты (различные фонды, государственные органы, предприятия) при этом необходимо соблюдать принцип равной взаимной полезности, т.е. желаемого гаранта можно заинтересовать уникальной услугой, совместной реализацией проекта;

Методы локализации рисков используются в редких случаях, когда удается довольно четко идентифицировать риски и источники их возникновения. Выделив экономически наиболее опасные этапы или участки деятельности в обособленные структурные подразделения, можно сделать их более контролируемыми и снизить уровень риска. К таким методам локализации относятся:

· создание венчурных предприятий предполагает создание небольшого дочернего предприятия как самостоятельного юридического лица для высокотехнологических (рискованных) проектов. Рискованная часть проекта локализуется в дочернем предприятии, при этом сохраняется возможность использования научного и технического потенциала материнской компании;

· создание специальных структурных подразделений (с обособленным балансом) для выполнения рискованных проектов;

· заключение договоров о совместной деятельности для реализации рискованных проектов.

Методы диверсификации рисков заключаются в распределении общего риска и подразделяются на:

· распределение ответственности между участниками проекта. Необходимо при распределении работ между участниками проекта четко разграничить сферы деятельности и ответственность каждого участника, а так же условия перехода работ и ответственности от одного участника к другому и юридически это закрепить в договорах. Не должно быть этапов, операций или работ с размытой или неоднозначной ответственностью;

· диверсификация видов деятельности и зон хозяйствования это увеличение числа применяемых технологий, расширение ассортимента выпускаемой продукции или оказываемых услуг, ориентация на различные социальные группы потребителей, на предприятия различных регионов;

· диверсификация сбыта и поставок, т.е. работа одновременно на нескольких рынках, когда убытки на одном рынке, могут быть компенсированы успехами на других рынках, распределение поставок между многими потребителями, стремясь к равномерному распределению долей каждого контрагента. Так же мы можем диверсифицировать закупку сырья и материалов, что предполагает взаимодействие со многими поставщиками, позволяя ослабить зависимость предприятия от его "окружения". При нарушении поставок по разным причинам предприятие безболезненно сможет переключится на работу с другим поставщиком аналогичного продукта;

· диверсификация инвестиций это предпочтение реализации нескольких относительно небольших по вложениям проектов, чем реализация одного крупного инвестиционного проекта, требующего задействовать все ресурсы и резервы предприятия, не оставляя возможностей для маневра.

· распределение риска во времени (по этапам работы), т.е. необходимо распределять и фиксировать риск во времени при реализации проекта. Это улучшает наблюдаемость и контролируемость этапов проекта и позволяет при необходимости сравнительно легко их корректировать.

Методы компенсации рисков связаны с созданием механизмов предупреждения опасности.

Методы компенсация рисков более трудоемки и требуют обширной предварительной аналитической работы для их эффективного применения:

· стратегическое планирование деятельности, как метод компенсация риска дает положительный эффект, если разработка стратегии охватывает все сферы деятельности предприятия. Этапы работы по стратегическому планированию могут снять большую часть неопределенности, позволяют предугадать появление узких мест при реализации проектов, заранее идентифицировать источники рисков и разработать компенсирующие мероприятия, план использования резервов;

· прогнозирование внешней обстановки, т.е. периодическая разработка сценариев развития и оценки будущего состояния среды хозяйствования для участников проекта, прогнозирование поведения партнеров и действий конкурентов общеэкономическое прогнозирование;

· мониторинг социально-экономической и нормативно-правовой среды предполагает отслеживание текущей информации о соответствующих процессах. Необходимо широкое использование информатизации - приобретение и постоянное обновление систем нормативно-справочной информации, подключение к сетям коммерческой информации, проведение собственных прогнозно-аналитических исследований, привлечение консультантов. Полученные данные позволят уловить тенденции развития взаимоотношений между хозяйствующими субъектами, дадут время для подготовки к нормативным новшествам, предоставят возможность принять соответствующие меры для компенсации потерь от новых правил хозяйственной деятельности и скорректировать оперативные и стратегические планы;

· создание системы резервов этот метод близок к страхованию, но сосредоточенному внутри предприятия. На предприятии создаются страховые запасы сырья, материалов, комплектующих, резервные фонды денежных средств, разрабатываются планы их использования в кризисных ситуациях, не задействуются свободные мощности. Актуальным является выработка финансовой стратегии для управления своими активами и пассивами с организацией их оптимальной структуры и достаточной ликвидности вложенных средств.

· обучение персонала и его инструктирование.

Эвристика представляет собой совокупность логических приемов и методических правил теоретического исследования и отыскания истины. Иными словами, это правила и приемы решения особо сложных задач.

Конечно, эвристика менее надежна и менее определенна, чем математические расчеты. Однако она дает возможность получить вполне определенное решение.

Риск-менеджмент имеет свою систему эвристических правил и приемов для принятия решений в условиях риска.

Основные правила риск-менеджмента:

1. Нельзя рисковать больше, чем это может позволить собственный капитал.

2. Надо думать о последствиях риска.

3. Нельзя рисковать многим ради малого.

4. Положительное решение принимается лишь при отсутствии сомнения.

5. При наличии сомнений принимаются отрицательные решения.

6. Нельзя думать, что всегда существует только одно решение. Возможно, есть и другие.

Реализация первого правила означает, что прежде, чем принять решение о рисковом вложении капитала, финансовый менеджер должен:

Определить максимально возможный объем убытка по данному риску;

Сопоставить его с объемом вкалываемого капитала;

Сопоставить его со всеми собственными финансовыми ресурсами и определить, не приведет ли потеря этого капитала к банкротству данного инвестора.

Реализация второго правила требует, чтобы финансовый менеджер, зная максимально возможную величину убытка, определил бы, к чему она может привести, какова вероятность риска, и принял решение об отказе от риска (т.е. от мероприятия), принятии риска на свою ответственность или передаче риска на ответственность другому лицу.

Действие третьего правила особенно ярко проявляется при передаче риска, т.е. при страховании. В этом случае он означает, что финансовый менеджер должен определить и выбрать приемлемое для него соотношение между страховым взносом и страховой суммой.

Страховой взнос - это плата страхователя страховщику за страховой риск. Страховая сумма - это денежная сумма, на которую застрахованы материальные ценности, ответственность, жизнь и здоровье страхователя.

Риск не должен быть удержан, т.е. инвестор не должен принимать на себя риск, если размер убытка относительно велик по сравнению с экономией на страховом взносе.

Реализация остальных правил означает, что в ситуации, для которой имеется только одно решение (положительное или отрицательное), надо сначала попытаться найти другие решения. Возможно, они действительно существуют. Если же анализ показывает, что других решений нет, то действуют по правилу "в расчете на худшее", т.е. если сомневаешься, то принимай отрицательное решение.

В эпоху экономического и финансового кризиса управление рисками является наиболее актуальной проблемой, встающей перед российскими промышленными компаниями. Процессы глобализации становятся еще одним источником экономических рисков, поэтому использование основ риск-менеджмента в управлении будет способствовать достижению целей и задач химических компаний, хотя и, безусловно, не сведет степень вероятности появления различного рода рисков до нулевой отметки.

Внедрение системы риск-менеджмента на предприятиях дает возможность:

• выявить возможные рисков на всех этапах деятельности;
• спрогнозировать, сопоставить и проанализировать возникающие риски;
• разработать необходимую стратегию управления и комплекс принятие решений по минимизации и устранению рисков;
• создать условия, необходимые для реализации разработанных мероприятий;
• проводить мониторинг работы системы управления рисковыми ситуациями;
• анализировать и контролировать полученные результаты.

К особенностям риск-менеджмента можно отнести: необходимость наличия у руководства компаниями опережающего мышления, интуиции и предвидения ситуации; возможность формализации системы управления рисками; способность быстрого реагирования и выявления путей совершенствования функционирования организации, сокращения степени вероятности нежелательного хода событий.

Комплексная система управления рисками ERM (Enterprise Risk Management ) во многих зарубежных компаниях, например, в США, используется уже довольно широко, поскольку хозяева крупных мировых компаний уже на практике удостоверились, что старые методы управления не соответствуют современным рыночным условиям и не в состоянии обеспечивать успешное развитие их бизнеса.

Применение риск-менеджмента предполагает четкое распределение ответственности и полномочий между всеми структурными подразделениями. В функции высшего руководства входит назначение ответственных за выполнение необходимых процедур управления рисками на всех уровнях. Такие решения должны соответствовать стратегическим целям и задачам компании и не нарушать условия действующего законодательства. При этом следует правильно распределить среди исполнителей мероприятие по выявлению рисков и функции контроля за создавшейся рисковой ситуацией.

Управление рисками как ключевой инструмент, направленный на повышение эффективности деятельности

Управление рисками является одним из ключевых инструментов, направленных на повышение эффективности программ деятельности руководителей предприятия, которую они могут использовать для снижения стоимости жизненного цикла продукции и смягчить или избежать потенциальных проблем, которые могут помешать успеху деятельности предприятия.

Достижение целей предприятия требует конкретных представлений об основном виде деятельности, технологиях производства, а также изучения основных видов рисков. Предупреждение рисков и снижение потерь от воздействия приводит к устойчивому развитию предприятия. Процесс, при котором деятельность предприятия направляется и координируется с точки зрения эффективности управления риском и представляет собой риск-менеджмент. Управление рисками является процессом выявления потерь, с которыми организация сталкивается в процессе основного вида деятельности и степени их воздействия, и выбора наиболее подходящего метода для управления каждым отдельным видом риска.

В другом представлении, управление рисками представляет собой систематический процесс, при котором риски, оцениваются и анализируются для уменьшения или устранения их последствий, а так же для достижения целей.

На основе вышесказанного можно прийти к выводу, что управление рисками для обеспечения жизнеспособности и эффективности деятельности предприятия, является циклическим и непрерывным процессом, который координирует и направляет основные виды деятельности. Это целесообразно осуществлять при помощи выявления, контроля и снижения влияния всех видов рисков, включая мониторинг, контакты и консультации, направленные на удовлетворение потребностей населения, без ущерба для возможности будущих поколений удовлетворять свои собственные потребности. Оценка риска приводит к стабильности деятельности предприятия, способствующей его устойчивому развитию. Управление рисками — вклад в устойчивое развитие, является существенным фактором в поддержание и повышение стабильной деятельности предприятия. Активный риск-менеджмент имеет решающее значение для процесса управления, в направлении подтверждения, что риски обрабатываются на соответствующем уровне.

Планирование и осуществление управления рисками включает в себя следующие этапы:

• управление рисками;
• определение рисков и степени их влияния на бизнес-процессы;
• применение качественного и количественного анализа рисков;
• разработка и исполнение планов реагирования на риски и их реализацию;
• осуществление мониторинга рисков и процессов управления;
• взаимосвязь между управлением рисками и результатами деятельности;
• оценка общего процесса управления рисками.

Методология (программа) по непрерывному управлению рисками

В целях содействия деятельности по управлению рисками предприятию необходимо разработать методологию (программу) по непрерывному управлению рисками (МНУР). МНУР является теоретически значимой программой, направленной на разработку механизмов управления проектами с передовой практикой процессов, методов и инструментов управления рисками предприятия. Она обеспечивает условия для активного принятия решений, постоянной оценки рисков, определения степени значимости и уровня влияния рисков на управленческие решения, и осуществление стратегии для борьбы с ними. Кроме того, может быть также достигнут прогресс в масштабах проекта, бюджета предприятия, сроках его реализации и т.д. Рисунок 1 наглядно иллюстрирует методологию непрерывного процесса управления рисками.

Рис. 1. Непрерывный процесс управления рисками

Процесс управления показателями выступает в качестве вспомогательного инструмента получения информации, необходимой для разрабатываемого механизма риск-менеджмента. Неблагоприятные тенденции должны быть проанализированы и дана оценка их влияния на данный механизм. Соответствующие действия механизма управления должны быть приняты для тех областей деятельности, которые определены как базовые в бизнес-процессах предприятия. Корректирующие действия могут включать в себя перераспределение ресурсов (средств, персонала и изменение графика производства) или активацию запланированной стратегии смягчения последствий влияния рисков. Тяжелые случаи, неблагоприятные тенденции и основные показатели могут также учитываются при использовании данного механизма.

Важно, что данный механизм подчеркивает необходимость переоценки выявленных рисков, систематически влияющих на деятельность предприятия. Поскольку система проходит через жизненный цикл разработки, в данном случае большая часть информации станет доступной для оценки степени риска. Если величина риска изменяется значительно, подходы к его обработке должны быть скорректированы.

В целом, такой прогрессивный подход к управлению рисками имеет решающее значение для всестороннего процесса управления и гарантирует, что показатели риска обрабатываются эффективно и на соответствующем уровне.

Разработка программы управления рисками на предприятии

Рассмотрим политику управления рисками, которую следует применять на предприятии. Разрабатываемый механизм (программа) должен быть направлен на эффективное и непрерывное управление рисками. Таким образом, ранняя, точная и непрерывные идентификация и оценка рисков поощряется, а создание информационно прозрачной отчетности по рискам, планирование мер по уменьшению и предотвращению изменению внешних и внутренних условий будет оказывать при этом положительное влияние на программу.

Данный механизм, включая взаимоотношения с контрагентами и подрядчиками, должен выполнять функции по идентификации рисков и их мониторингу. Для его реализации необходимо наличие некоего плана в виде набора руководящих документов, разработанных для конкретных областей деятельности. Этот план устанавливает руководящие принципы для реализации МНУР в определенном временном интервале. Он не влияет на осуществление других видов деятельности всего предприятия, но скорее может обеспечить руководству лидерство в области управления рисками.

Процесс управления рисками должен отвечать ряду требований: он должен быть гибким, инициативным, а также должен работать в направлении обеспечения условий для эффективного принятия решений. Управление рисками будет влиять на риски путем:

• поощрения выявления рисков;
• декриминализации;
• определения активных рисков (постоянная оценка того, что может пойти не так);
• выявления возможностей (постоянно оценивая вероятность благоприятных или своевременных случаев);
• оценки вероятности возникновения и тяжести воздействия каждого идентифицированного риска;
• определения соответствующих направлений действий для снижения возможного значительного влияния рисков на предприятие;
• разработки планов действий или шагов для нейтрализации влияния любого риска, который требует смягчения;
• ведения непрерывного наблюдения за возникновением рисков с незначительной степенью влияния в настоящее время, которое может со временем измениться;
• производства и распространения достоверной и своевременной информации;
• содействия взаимосвязи между всеми заинтересованными сторонами программы.

Процесс управления рисками будет осуществляться на гибкой основе, учитывая обстоятельства возникновения каждого риска. Основная стратегия управления рисками призвана определить важнейшие области рисковых событий, как технических, так и нетехнических, и заранее принять необходимые меры, чтобы справиться с ними, прежде чем они окажут значительное влияние на предприятие, вызывая серьезные затраты, снижая качество продукции или производительность.

Рассмотрим более детально функциональные элементы, которые являются составляющими процесса управления рисками: идентификация (выявление), анализ, планирование и реагирование, а также мониторинг и управление. Каждый функциональный элемент рассмотрим ниже.

1. Идентификация

• Обзор данных (т.е. освоенный объем, анализ критического пути, составление комплексного графика, анализ Монте-Карло, бюджетирование, дефектный анализ и анализ тенденций и т.д.);
• Рассмотрение представленных форм идентификации рисков;
• Проведение и оценка риска с использованием мозгового штурма, индивидуальной или групповой экспертной оценки
• Проведение независимой оценки выявленных рисков
• Введите риска в реестр рисков

1. Идентификация риска / анализ инструментов и методов, которые будут использованы, включают в себя:

• Методы интервью для определения риска
• Анализ дерева отказов
• Исторические данные
• Извлеченные уроки
• Учет риска – контрольный список
• Индивидуальное или групповое суждение экспертов
• Подробный анализ структуры декомпозиции работ, изучение ресурсов и составление графика

1. Анализ

• Проведение оценки вероятности – каждому риску будет присвоен высокий, средний или низкий уровень вероятности возникновения
• Создание категорий риска – выявленные риски должны быть связаны с одним или несколькими из следующих категорий риска (например, затраты, сроки, технические, программные, процессные, и т.д.)
• Оценить влияние рисков – оценить влияние каждого риска в зависимости от выявленных категории риска
• Определение тяжести риска – назначить вероятности и воздействия на рейтинг в каждой из категорий риска
• Определить сроки, когда рисковое событие, вероятно, произойдет

1. Планирование и реагирование

• Приоритетов рисков
• Анализ рисков
• Назначить ответственное лицо за возникновение риска
• Определить соответствующую стратегию управления рисками
• Разработать соответствующий план реагирования на риски
• Составить обзор приоритетов и определить его уровень в отчетности

1. Наблюдение и управление

• Определить форматы отчетности
• Определить форму обзора и частоту возникновения для всех классов рисков
• Отчет о рисках на основе триггеров и категорий
• Проведение оценки риска
• Представление ежемесячных докладов по рискам

Для эффективного риск-менеджмента на предприятии считаем целесообразным создание отдела управления рисками. Основные обязанности данной структурной единицы, в том числе для персонала и других пользователей (включая сотрудников, консультантов и подрядчиков), в целях успешной реализации стратегии управления рисками и процессов приведены в табл. 1.

Таблица 1 — Отдел управления рисками роли и обязанности

Роли	Возложенные обязанности
Директор программы (ДП)	надзор за рисками деятельности управления. Мониторинг рисков и планов реагирования на риски. Утверждение решения о финансировании планов реагирования на риски. Мониторинг управленческих решений.
Менеджер проектов	оказание помощи в контроле риска деятельности управления Оказание помощи в создании организационных полномочий для всех мероприятий по управлению рисками. Своевременное реагирование на риск финансирования.
Служащий	содействие осуществления управления рисками (служащий не несет ответственность за определение рисков, или успех индивидуальных планов реагирования на риски). Необходимость поощрения активной позиции по принятию решений при определении соответствующих мер реагирования на риски для «владельцев» рисков и менеджеров отделов. Администрирование и поддержание приверженности заинтересованных сторон, процесс управления риском Обеспечение регулярной координации и обмена информацией по риску между всеми заинтересованными сторонами, Управление рисками, находящихся в зарегистрированном реестре рисков (базе данных). Развитие знаний персонала и подрядчиков в области деятельности по управлению рисками.
Секретарь	функции секретаря выполняет служащий отдела рисков или они чередуются между всеми сотрудниками. Функции включают в себя: Планирование и координация встреч; Подготовка повестки дня заседания, пакеты оценки риска, а также протоколы заседаний. Получение и отслеживание статуса предложенных видов риска. Выполнение первоначальной оценки предлагаемых видов риска для определения наиболее важного. Эксперт предметной области анализа риска по просьбе председателя СД. Содействие проведению анализа членами Совета Директоров, которые будут принимать решение о том, необходимо ли снижение рисков. Регулярная координация и коммуникация риска обмена информацией со всеми заинтересованными сторонами,
Директор отдела (ДО)	назначение владельцев рисков в их зоне ответственности и / или компетенции. Активное поощрение сотрудников Отслеживание интеграции усилий ответственных лиц по управлению рисками в своих зонах ответственности. Выбор и утверждение стратегии реагирования на риски. Это включает в себя утверждение ресурсов (например, риск владельца) для дальнейшего анализа рисков и / или составление более детального плана реагирования на риски в случае необходимости. Утверждение всех задач. Назначение ресурсов для ответных мер по управлению риском, содержащихся в детальном плане.
Индивидуальный член программы Офиса управления (ИЧП)	определение рисков. Доступ к данным по управлению рисками Выявление возможных рисков по данным с использованием стандартной формы идентификации при необходимости Составление и выполнение плана реагирования на риски Определение времени и всех расходов, связанных с реализацией плана реагирования на риски
Владелец риска / Ответственное лицо	посещение заседаний отдела управление рисками. Обзор и / или предоставление соответствующих данных, например, анализ критического пути, инструменты поддержки управления проектами / данных, анализ дефектов, аудит, и возможности возникновения неблагоприятных тенденций Участие в разработке планов реагирования Отчет о статусе рисков и эффективность планов реагирования на риски Работа по определению средств реагирования на риски путем любого дополнительного или остаточного риска.
Комплексная бригада (КБ)	выявление и предоставление информации о рисках, которые могут возникнуть в результате деятельности КБ. Участие в планировании любого риска в соответствии с этой программой. Такое планирование требует согласования с отделом по управлению рисками, которые, действуя в качестве руководства, могут способствовать приобретению ресурсов для реагирования на риски. Доклад о ходе и результатах реагирования на риски.
Управление качеством	осуществление контроля и обзор РКМ при обновлении или изменении плана Обязанность поддерживать качество практики составления документации и процессов управления рисками

Функции управления рисками заключаются в организации взаимодействия с существующими подразделениями организационной структуры. ИПЦ формируются для функциональных областей, которые имеют решающее значение для успешной реализации поставленных задач. Все функциональные отделы или бизнес-процессы, не охваченные КБ, оцениваются и рассматриваются ДП, ПМ, и служащим для обеспечения адекватного поведения в отношении появления риска. Идентификация рисков представляет собой процесс определения того, какие события могут повлиять на деятельность предприятия, и документирования их характеристик. Важно отметить, что идентификация риска является повторяющимся процессом. Первая итерация является предварительной оценкой и проверкой по рискам команды, по мере необходимости, с идентификатором риска. Вторая итерация включает в себя презентацию, просмотр и обсуждение. Процесс управления рисками включает три отдельных этапа по характеристике рисков: выявление, оценка и корректировка, и подтверждение.

Графическое изображение процесса идентификации рисков представлено на рис. 2.

Рис. 2. Структурная схема алгоритма идентификации риска

В результате его внедрения может быть разработан комплекс мероприятий, позволяющих оценить операционные риски предприятия, интегральный риск, количественная оценка которого основана на комплексном анализе финансовой и бухгалтерской отчётности, и проведение оценки интегрального риска на основе всех уровней ответственности предприятия.

Заключение

Управление рисками на химических предприятиях необходимо осуществлять в рамках системного и процессного подходов, с учетом специфики отрасли с использованием современных эффективных методов управления и организаций производства, а также с использованием инструментов риск-менеджмента. Система риск-менеджмента деятельности химического предприятия должна обязательно учитывать требования безопасности, установленными государственными органами власти, и обеспечивать безопасность и сохранение здоровья персонала, связанного с опасным технологическим объектом. В целях эффективного риск-менеджмента предприятия необходима система управления интегральным риском, которая заключается в комплексном подходе к оценке максимального числа факторов риска деятельности предприятия, осуществляемой в условиях динамичной экономической среды. Автор считает, что разработка вышеописанного комплекса мероприятий будет сопутствовать повышению уровня управления и оценки рисков в промышленных организациях.

Современный деловой мир динамичен. После двух лет междувременья (2014-2015 гг.) постепенно проступают черты новой реальности для перспектив развития бизнеса в России. В условиях сжавшегося рынка и слабого рубля предприятия вынуждены формировать и всемерно развивать свой экспортный потенциал, что потребует дополнительной перестройки менеджмента. В этой связи система управления рисками, которую так или иначе придется создавать предприятиям, может стать ресурсом привлекательности для инвесторов и фактором успеха на внешних и внутренних рынках.

Сущность управления рисками

Данная статья перекликается с материалами статьи на тему организационных аспектов . Под управлением рисками предлагается понимать совокупность целенаправленных процедур по выявлению, оценке и уменьшению риска до установленных стратегическим выбором значений, предполагающая многоступенчатый процесс реализации. Экономической целью управления служит уменьшение или компенсация ущерба для организации при возникновении неблагоприятных последствий решений.

В условиях неопределенности хозяйственной деятельности предприятия управление риском представляет собой комплекс регулирования стратегических, тактических, проектных и оперативно-производственных отношений. Комплексный подход имеет ряд преимуществ (ниже размещена соответствующая схема), и с позиции функций управления задействуется практически весь арсенал средств менеджмента, включая компоненты финансового управления, логистики, экономики, учета, продаж и т.д. Комплекс процедур направлен на:

• прогнозирование рисковых событий и их идентификацию;
• обоснование уклонения от риска;
• обоснование допустимости риска;
• минимизацию риска с применением доступной гаммы инструментов;
• устранение причин и последствий рисковых событий;
• адаптацию компаний, выстоявших в кризисный период, к новым условиям хозяйствования;
• защиту от банкротства.

Схема демонстрации преимуществ комплексного подхода к управлению рисками

Неопределенность деятельности слабо коррелирует с масштабами деятельности. Действительно, регулярный менеджмент, который удается развернуть на крупных предприятиях, дает значительную «фору» в сравнении с эмпирическими методами управления в малом бизнесе. Но, во-первых, себестоимость управления резко возрастает, во-вторых, само число факторов риска становится значительно больше. Поэтому с уверенностью можно утверждать, что одним из условий успешности деятельности является исполнение руководством бизнеса, независимо от его размера, антирисковых мероприятий. Другой вопрос, насколько системным является управление рисками?

Объектами управления выступают собственно риск, экономические отношения, сопутствующие вероятным неблагоприятным событиям и рисковые инвестиции. Субъекты управления могут быть рассмотрены как в широком, так и в узком смысле слова. С общей позиции ими выступают все члены коллектива организации, включая руководителей и сотрудников. В узком смысле субъектами являются специально уполномоченные руководители, сотрудники и подразделения компании. Цели и задачи управления рисками связаны с этапами развития бизнеса и прохождения им стадий жизненного цикла. Схема изменения состава целей управления на этапах деятельности организации и соответствующие им задачи показаны на схеме далее.

Динамика целей и состав задач управления рисками по этапам развития компании

Понятие и содержание систем управления рисками

Система управления рисками (СУР) как совокупность взаимосвязанных элементов, с одной стороны, содержит две подсистемы: управляющую и управляемую. Кроме того, СУР выступает компонентом системы более высокого ранга – общекорпоративного менеджмента и руководствуется предписаниями стратегии организации. С другой стороны, система включает в себя технологический комплекс управления и комплекс организационных средств и структур. Обратите внимание на схему «Здания СУР», представленную далее. В ней отображены основные элементы системы управления рисками.

Схема «Здание СУР» во взаимосвязи технологических и организационных аспектов

Система управления рисками на предприятии – это элемент механизма внутреннего контроля и управления рисками, который является частью общекорпоративного управления, технологическим средством и инструментами, обеспечивающими эффективность функционирования риск-менеджмента. Данная система обеспечивает организационные предпосылки, принципы и структуры для проектирования, внедрения и совершенствования бизнес-процессов управления рисками организации. Таким образом, СУР создает инфраструктуру для риск-менеджмента на регулярной основе.

Обеспечение минимизации уровня неопределенности в отношении достижимости поставленных перед руководством задач, разработка и практическое развитие процессов управления рисками является главной целью СУР. Под указанными задачами рассматриваются результаты, подлежащие достижению согласно стратегии развития, в программах тактического и операционного уровней. СУР служит регламентированному управлению оцененными рисками, а также поддержанию на уровне предпочтительного приемлемого риска интегрального риска компании. Схема взаимосвязи управления интегральным риском с заинтересованными сторонами размещена ниже.

Схема урегулирования конфликта ведущих лиц бизнеса через управление интегральным риском

Система риск-менеджмента, особенно в крупных компаниях, называется корпоративной системой управления рисками (КСУР). Помимо простого расширения аббревиатуры, это, как правило, влечет повышение требований к уровню регламентации деятельности в рамках системы. С позиции решения основных задач в КСУР последовательно выполняются следующие этапы.

1. Диагностика СУР на уровне единиц бизнеса и всей компании.
2. Разработка основных структур КСУР (организационной, информационной, финансовой и т.п.).
3. Создание регламентационного и методологического обеспечения КСУР.
4. Структуризация баз данных по выявленным рискам и состоявшимся рисковым событиям.
5. Разработка механизмов мониторинга и отчетности по возникшим событиям.
6. Выявление, идентификация и оценка рисков, составление плана по их минимизации и компенсации.
7. Формирование карты рисков.
8. Интеграция процедуры актуализации карты в процесс бизнес-планирования.
9. Анализ и оценка фактов реагирования на рисковые события.

Специфика стандартизации управления рисками

Системы управления рисками на отечественных предприятиях строятся на основе достаточно слабо адаптированных к нашим реалиям западных стандартов. Я не рассматриваю здесь опыт банков и страховых компаний. Представляется, что в данном секторе экономики точка невозврата пройдена и темпы развития риск-менеджмента и поддерживающих их СУР можно считать удовлетворительными. Интересует, на что могут опереться российские компании, в первую очередь, производственного сектора, чтобы достаточно оперативно нарастить свой потенциал управления рисками? Для этого нужно коснуться истории развития системного подхода к риск-менеджменту в мире и в нашем государстве.

Схема мировой истории развития стандартов в области управления рисками

Состав действующих национальных и международных стандартов в области риск-менеджмента

Выше представлены схема истории стандартизации и состав действующих стандартов в области риск-менеджмента в мире. Очевидно, что для того чтобы российское предприятие удовлетворяло запросам инвесторов и вызывало доверие на международной арене, подход к построению КСУР должен быть, по крайней мере, близок к мировым стандартам. И чтобы удовлетворить требования биржевых торговых площадок, международного и российского корпоративного законодательства, сама система должна быть прозрачна и понятна для компетентного заинтересованного лица.

Модель управления рисками COSO ERM не является стандартом и представляет собой глубокую методологическую разработку. Поэтому куб COSO трудно обойти вниманием и не акцентировать его основные постулаты. Ниже представлены две схемы, дающие обзорную картину данной концепции. В модели:

• определены основные понятия системы внутреннего контроля;
• подробно описаны основные компоненты процесса управления рисками;
• представлена интегрированная модель управления рисками в кубической визуальной форме;
• выработаны принципы настоящей системы управления;
• сформулированы функции и обязанности участников процесса управления рисками;
• описан собственно процесс управления;
• даны рекомендации внешним и внутренним заинтересованным сторонам в обеспечении успешного функционирования СУР в компаниях.

Основные компоненты модели управления рисками COSO ERM

Компания всегда остается один на один со своими рисками и на внутренних рубежах занимает оборону от угроз и последствий их воплощения. Регулятивные органы также занимают свое место на «дальних подступах к фронту боевых действий». И поддержка регуляторов, безусловно, нужна бизнесу. Другое дело, что отечественные стандарты представляют собой «кальку» с западных аналогов. При этом нужно понимать, что реальная практика общей массы фирм в развитых странах ушла далеко вперед в силу более длительной истории и другого уровня управленческой культуры. Тем не менее, в качестве базиса предоставляемые регуляторами ресурсы полезны для старта внедрения КСУР.

Схема состава регуляторов, определяющих требования к СУР

Алгоритм построения КСУР в компании

Мы с вами помним аксиому, что менеджмент и его компоненты находятся в связке со стратегией компании. Она определяет принципы управленческой деятельности и основные акцентные точки. Специфика управления рисками состоит в том, что локальная стратегия работы с рисками подвергается серьезной корректировке в середине процесса управления. Для построения СУР важен опыт компании в практическом применении финансово-экономической теории, налогового и гражданского права, внешних нормативных актив и стандартов.

Внутренние и внешние опоры построения СУР в компании

Построение системы управления рисками по модели, которая предлагается ниже, основано на опыте российских компаний с ориентиром на методику COSO. Данная модель подразумевает следующие этапы алгоритма.

1. Анализ среды. В первую очередь анализируют элементы внешней среды (деятельность ЦБ РФ, Госдумы, Минфина, ФНС и т.д.), предпринимательскую среду, конъюнктуру рынка, ресурсы предпринимательской деятельности. Все это создает внешние факторы риска.
2. Установление заказчика процессов управления рисками. От этого зависит успех внедрения КСУР. Очень часто в российских компаниях заказчиком выступает финансовая служба, что связано с доминирующей ролью финансовых рисков функционирования компании. Заказчиком в ряде случаев выступает генеральный директор, и особенно ценно, если его начинания поддерживаются позицией основных акционеров.
3. Определение организационной структуры управляющей подсистемы. Система может управляться специально выделяемым специалистом или руководителем обособленного подразделения, который координирует различные направления: рисковых вложений, страховых операций, венчурных инвестиций. Такое организационное построение носит название концентрированной модели. Вторым вариантом организации СУР может выступать распределенная модель управления рисками.
4. Разработка регламентирующей документации системы: политики управления рисками, положения (концепции) по управлению рисками, декларации о рисках. Политика служит основным документом КСУР, она находится в общем доступе на корпоративном портале.
5. Разработка и корректировка корпоративной карты рисков. Здесь циклически реализуются мероприятия по выявлению, идентификации и оценке рисков компании.
6. Выработка стратегии управления рисками. В стратегии, помимо принципов выбора методов работы с рисками, механизмов их финансирования, особое место занимают показатели эффективности СУР и распределение зон ответственности между управляющей компанией и единицами бизнеса.
7. Собственно реализация программы минимизации и компенсации рисков.
8. Разработка процесса оперативного регулирования рисков.
9. Регулярный аудит КСУР.
10. Внедрение процедур информирования об изменениях в КСУР.
11. Создание и развитие систем контроля и мониторинга.
12. Внедрение процедур сохранения и архивирования информации, генерируемой в системе.

Принципы реализации СУР

Принципы функционирования СУР в компании определяют также процессы ее внедрения и развития. Данные принципы подлежат соблюдению руководителями, ответственными за исполнение процедур системы специалистами и всеми сотрудниками компании.

1. Принцип ориентации на цели. Цели прописаны в стратегических документах компании: в стратегиях развития, плане стратегических мероприятий, корпоративных картах, бизнес-планах.
2. Принцип балансировки рисков и прибыли. СУР должен способствовать балансу между риском и доходностью (прибыльностью) бизнеса с учетом требований законодательных актов и положений внутренних регламентов.
3. Принцип учета неопределенности. Неопределенность присутствует в любой бизнес-деятельности и является неотъемлемой частью принимаемых в компании решений. СУР служит систематизации сведений об источниках (факторах) неопределенности и содействует ее снижению.
4. Принцип системности. Системный подход позволяет вовремя и полноценно выявить, идентифицировать и оценить риски, снизить их негативные последствия или компенсировать влияние на результаты деятельности.
5. Принцип качественной информации. Для функционирования СУР требуется своевременная, безопасная и точная информация. При принятии решений, тем не менее, нужно учитывать ограничения и допущения источников сведений, возможную субъективность позиции экспертов и особенности используемых методов оценки и моделирования рисковых ситуаций.
6. Принцип закрепления ответственности за управление рисками. Вводится понятие «владелец риска», этот статус присваивается одному из руководителей компании. Ему придается ответственность за соответствующие процедуры управления в пределах приданных полномочий и функционального состава.
7. Принцип эффективности. СУР должна обеспечивать разумное и экономически обоснованное сочетание результативности управления и расходов на его организацию и производство.
8. Принцип непрерывности. СУР функционирует в условиях регулярности (цикличности) основных процессов и их непрерывности. Процессы системы берут начало в момент разработки стратегии компании и охватывают все области ее деятельности.
9. Принцип интеграции. Система принятия решений на всех уровнях управления должна включать в свой состав предметную сферу СУР. Решения вырабатываются и утверждаются с учетом обстоятельств и вероятности возникновения неблагоприятных последствий, связанных с их принятием.
10. Принцип расширенности. СУР предполагает выявление, оценку и урегулирование всех возможных угроз деятельности, не ограничиваясь только финансовыми и страхуемыми рисками. По трем последним принципам далее представлены схемы их основных элементов.

Состав процедур принципа непрерывности СУР

Схема основных элементов принципа расширенности СУР

Оценка компании на предмет управления рисками

Что делать компании, если она только задумывается о внедрении СУР или, если элементы системы уже присутствуют, но непонятно, как и в каком направлении двигаться дальше? Специалисты рекомендуют в таком случае выполнить анализ системы управления рисками на предприятии с целью определить ее сильные и слабые стороны и пути дальнейшего развития.

Действующим и потенциальным заинтересованным сторонам в деятельности компании и в инвестировании в нее очень полезно было бы узнать о реальном состоянии дел с позиции регулярного риск-менеджмента. Консалтинговая группа KPMG в 2015 году проводила исследование «Практика управления рисками в России», в котором к 48 респондентам обратились с вопросом о проведении диагностики СУР. Результаты ответов представлены на диаграмме далее.

Результаты опроса 48 компаний России о диагностике СУР.

Под наш неусыпный взгляд попала, деятельность по управлению и анализ рисков, которую мы используем в своей профессиональной деятельности. За прошедшее, с нашего последнего рандеву времени, мы успели подготовить следующую статью.

Продолжение следует, прямо сейчас…
Сегодня мы поговорим о деятельности по управлению рисками.

Введение

Деятельность по управлению рисками, как каждая комплексная деятельность - это сложный итерационный процесс, который имеет свои стадии, цели и задачи. Любая стадия имеет свое назначение, «берет»/«получает» на вход своей деятельности данные, определенные «преддеятельностью» и на выходе формирует конечный/промежуточный результат.

Риск-менеджмент можно верхнеуровневого определить следующей последовательностью этапов:

1. Идентификация риска;
2. Оценка вероятности его наступления и масштаба последствий, которые могут возникнуть;
3. Предварительный анализ и определение максимально-возможных убытков;
4. Выбор методов и инструментов управления выявленным риском;
5. Разработка риск-стратегии для снижения вероятности реализации риска и минимизации возможных негативных последствий;
6. Реализация риск-стратегии;
7. Оценка достигнутых результатов и корректировка риск-стратегии;
8. Мониторинг проблемных областей.

Отраженная последовательность этапов является всего лишь отдаленным представлением рассматриваемой активности, и будет в дальнейшем детализирована и экспертно расширенна. К примеру, представленная в данном плане «риск-стратегия» - это всего лишь набор определенных взаимосвязанных процессов и документов, которые отражают суть всех или некоторых этапов риск-менеджмента.

Управление рисками, как было сказано в первой статье, это довольно молодая отрасль деятельности, в актуальном понимании её целей и задач. Она изучает степень влияния на различные сферы, процессы и т.д., как основные, так и косвенные/смежные, определенных событий, которые влекут за собой наступление различных видов ущерба или прибыли, и то, как ей можно управлять или, в крайнем случае, направлять или контролировать.

Управление и анализ рисков – это отдельная область, имеющая четко определенное отношение к ИТ. Но при этом, данное направление работ было бы некорректно называть наукой, а вполне правильно говорить о методологии, которая обладает собственным понятийным аппаратом, классификацией, видами анализа и т.д.

С представленной точки зрения, основной отличительной чертой данной методологии является терминология. Она представляет собой смесь между такими активностями, как информационные технологии, техника, инженерия, теория машин и механизмов, страховое дело и биржевое дело и т.п. Существование подобной «химеры» сложилось исторически, в соответствии с развитием риск-менеджмента и требует от специалиста, приобщенной к данной профессиональной области, широкого кругозора и разностороннего понимания не только «примерной» сути предмета, но и его деталей, а иначе профессионал рискует остаться за бортом понимания происходящего, что нивелирует его участие в данном процессе.

За каждым термином, которые будут приведены далее в этой статье, скрывается определенный смысл и история развития исходный причин и следствий, которые приобрели своё право на существование благодаря тому, что их важность и постоянная актуальность была подтверждена временем и обоснованностью получаемых результатов, таких как успех или ущерб.

Таким образом, чтобы грамотно управлять и направлять развитие рисков, ведь результатом риска может быть не только урон, но и эффективный результат, необходимо подробнейшим образом разбираться в их категориях, классификациях и типах. Уникальность каждого риска состоит в том, что причины их порождающие, зависят от таких факторов, как тип активности, в которой они проявляются, окружение процесса или события, вид технологии и т.д.

Несмотря на то, что нами было объявлено, что управление и анализ рисков это скорее методология, чем отдельное научное направление в области информационных технологий, важность восприятия и понимания фундаментальных основ, которые имеют свое непосредственное отношение к, казалось бы, совсем не ИТ дисциплинам, это одно из составляющих успеха в овладении и применении знаний по риск-менеджменту в практической деятельности.

Определение основных понятий

Для того, чтобы говорить с Вами, уважаемые коллеги, на одном языке (ведь мы уже поняли насколько это важно), языке рисковой деятельности, необходимо сразу договориться о тех терминах, которые необходимо знать, для успешного освоения и применении на практики знаний риск-менеджмента.

С одной стороны, в силу специфики изучаемого предмета, рано говорить об устоявшейся терминологии в управлении рисками, применительно к информационным технологиям. Безусловно, данная объективная ситуация связана с разнообразием видов риска, которые являются объектом рассмотрения нашей дисциплины. Но нам необходимо очертить рамки наших исследований, а иначе мы с Вами рискуем (да, да, именно так:)) думать о разных вещах.

Определения риска было дано нами в первой статье, здесь же, для формирования полной картины изучаемого предмета, и всестороннего взгляда на довольно сложное понятие, мы приведем его еще раз:

Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.

Учитывая комплексность и многообразие дисциплин, которые «наполняют» риск-менеджмент, целесообразно привести альтернативное понятие риска, приведенное в одном из финансово-инвестиционных учебников:

Риск-событие или группа родственных случайных событий, наносящих ущерб объекту, обладающим данным риском.

Приведенное «финансовое» определение риска обязывает нас расшифровать понятия, которые входят в него:

• Случайность (многие люди ассоциируют понятие случайности и непредсказуемости, что является не совсем верным) наступления события означает невозможность определить время и место его возникновения.
• Объект – материальный объект или интерес, свойство объекта.
• Ущерб – ухудшение или потеря свойств объекта.
• Вероятность события – это признак события, означающий возможность рассчитать частоту наступления события при наличии достаточного количества статистических данных.

Таким образом, риск, как самостоятельное событие, или часть более крупного события обладает двумя наиболее важными, с точки зрения управления рисками свойствами – вероятностью и ущербом.

Каждое событие порождается определенной причиной или набором причин. Такие причины принято называть инцидентами. Цепочка последовательных этапов, которые приводят от первоначального инцидента, к конечному событию – это сценарий развития. Зная те вероятности, которые привели к возникновению инцидентов, можно установить последовательность промежуточных шагов и рассчитать вероятности реализации сценария. Определяющим фактором освоения риск – менеджмента в информационных технологиях является способность одновременно анализировать, учитывать и синтезировать при рассмотрении конкретной ситуации или сценария три следующих домена:

• Домен риска
• Домен менеджмента
• Домен информационных технологий

Именно способность одновременно взаимосвязывать эти, казалось бы, абсолютно разные по своей природе предметы гуманитарного и технического характера способствует успеху в освоении и практическом применении области управления анализа рисков. Способность понимать и распознавать инциденты, относящиеся к различным «природам» возникновения и навык построения сценариев, различные стадий и шаги которых относятся к разным доменам, это важная характеристика высококлассного специалиста в риск-менеджменте.

Управление рисками на примере современных методик

На сегодняшний день многие популярные и основополагающие ИТ методологии из таких направлений как управление проектами (PMBOK), аналитика (BABOK), ИТ-аудит (COBIT), сервисная деятельность (ITIL), разработка программного обеспечения (MOF) и т.д., пытаются предоставить инструмент, который смог бы предложить эффективный алгоритм управления и анализа рисков. Таким «инструментарием» различных направлений деятельности домена информационных технологий являются следующие методы: CORAS, OCTAVE, CRAMM, MOF risk management, Risk it и т.д. Представленные процессы являются основными по востребованности и использованию, поэтому мы рассмотрим их все и попробуем разобраться в специфики каждого.

Краткий обзор методологий управления ИТ-рисками:

CORAS

Была разработана в рамках западной программы «Технологии информационного общества». Цель данной методологии состоит в адаптации, уточнении и комбинировании таких основных методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.

CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management.

В CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а с нескольких сторон, точнее как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений.

OCTAVE

Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги-Меллона (альма-матер многих современных ИТ-методологий и направления програмной инженерии) и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.

Ключевые элементы OCTAVE:

• идентификация информационных активов подверженных риску и ущербу;
• идентификация угроз для критичных информационных активов;
• определение уязвимостей, ассоциированных с критичными информационными активами;
• оценка рисков, связанных с критичными информационными активами.

OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.

OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.

CRAMM

Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по превентивным мерам, позволяющим снизить/устранить воздействие рискам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер.

Модель управления рисками стандарта MOF (MOF Risk Model)

Эта методология заслуживает отдельного упоминания. Мы посвятим ей чуть больше материала и Вашего времени.

Она является самой распространенной на данный момент времени и определяет основные этапы управления рисками, которым в дальнейшем будет посвящена отдельная статья (мы на это очень рассчитываем), но которые мы упомянем и здесь:

• Идентификация рисков - определение причин риска, условий его возникновения, последствий;
• Анализ рисков - оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса;
• Планирование мероприятий - определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние. Также тут разрабатывается план действий в случае возникновения риска;
• Отслеживание риска - сбор информации об изменениях, с течением определенного промежутка времени, различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния
• Контроль (Control) - выполнение запланированных действий в качестве реакции на возникновение рискового события.

Если рассмотреть модель управления рисками в отрыве от стандартов, где она используется (ITIL, MOF, и т.д.), то можно увидеть относительно неглубокое, но фундаментальное представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II (упомянутая в первой статье) – подробнее описывает вопросы организации системы управления рисками в компании.

COBIT 5 for Risk (RiskIT)

Этот стандарт рассматривает подход к управлению рисками с двух аспектов: risk function и risk management.

В первом случае говорится о том, что нужно иметь в организации, чтобы построить и поддерживать систему управления рисками. Во втором мы рассматриваем ключевые процессы руководства и управления для оптимизации рисков и регулярные процедуры для идентификации, анализа, реагирования и отчетности по рискам.

Как Вам уже стало понятно, в ИТ области нет единого и централизованного взгляда на управление рисками. Множественность стандартов и методик вызвана, прежде всего, спецификой анализа и управления рисками в применении, к определенным отраслям и ресурсам, которые могут быть затрачены на их воплощение в жизнь. Но каждая из описанных методик имеет право «быть» только по тому, что они доказали свою состоятельность не только в качестве «книжных» значений, но и как конкретный и эффективный инструмент деятельности. Все из вышеприведенных методик решают, по сути, однотипные проблемы, вызванные похожими причинами и направленные на то, чтобы минимизировать ущерб от наступления риска или устранить его в принципе, но «заточены» по разные виды организаций и процессы, в которых планируется устранять или минимизировать риски. Из изложенных методов наиболее универсальным, без сомнения является MOF, которые с той или иной степенью адаптации может быть использован в любом типе активности, а вот остальные являются, по большей части, специализированными инструментами, требующими разного степени внимания и разных ресурсов. При желании, каждый из Вас может в «глобальной паутине» найти более подробную информацию об изложенных методах.

Актуальность деятельности по работе с рисками на сегодняшний день

На сегодняшний день информационные технологии предоставляют разнообразный инструментарий для поддержки и развития любого типа специальной деятельности, независимо от её специфики и других характеристик, будь это узконаправленный тип электронного бизнеса, сфера образования или общеиспользуемый вид хозяйственных услуг.

Высокие технологии позволяют повысить эффективность уже существующих процессов, стать фундаментом для создания новых, но при этом, при условии их неуправляемого использования, становятся источником возникновения колоссальных рисков, которые, в случае «наложения», могут быть источниками многих «эмерджентных» результатов. Общеизвестный факт, что к деятельности по работе с рисками, в большинстве стран, особо плачевное состояние в данном направлении наблюдается и в РФ, относятся, как к ненужной избыточности, которая в последнее направление стала «модным» направлением деятельности, которому необходимо «как бы» следовать в силу многих факторов. Но реалии современных условий таковы, что при сохраняющихся темпах развития современного мира (прогнозируется что эти темпы будут только расти) предусмотреть, выявить и зафиксировать полный спектр возможных проблем для ИС (наиболее динамично изменяющаяся отрасль) практически не возможно, в не зависимости от того, какой именно тип работ выполняется: внедрение новых программных продуктов и комплексов, поддержка и развитие уже существующих или вывод из эксплуатации устаревших с последующим процессом миграции критически значимой для конкретной организации информации. В таком окружении вид деятельности, который направлен на проактивную и превентивную активность в разрезе решения/недопущения/устранения и т.д. возникающих задач и проблем становится особо важным. Таким видом деятельности и является направление анализа и управления рисками, что подтверждается активным ростом базы стандартов и методик, в которых полностью или частично рассматривается работы с рисками. Для примера можно привести следующие методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и т.д.

Общие причины рисков

В основе любой конструктивной деятельности заключено ясное понимание целей, задач и ресурсов, которые необходимы для достижения конечного результата.

Чем более определенными и однозначными являются эти факторы, тем ниже степень неопределенности, которая потенциально может повлиять на достижимость поставленной цели. На основе этого абсолютно очевидно, что главной причиной любого риска является степень неопределенности, которая заложена в тех постулатах, которые являются рамками процесса или проекта, инициирующими рассматриваемую нами активность. То, насколько очевидными являются наши проблемы и те ресурсы, которые выделены для их решения, определяет рискованность нашей деятельности. Неопределенные задачи, априори, обречены на то, что возможность составления и реализации жизнеспособного плана по их разрешению является «тычком» пальцем в «никуда».

Более высокая неопределенность условий как внешней, так и внутренней среды приводит к тому, что ресурсы, выделяемые на преодоление этих условий, должны быть как можно более качественные. Многие негативные факторы и причины можно предвидеть и «искоренять» основываясь только на опыте специалистов, имеющих высокие навыки по работе с рисками, но это вряд ли можно считать прогнозируемым фактором, который нужно использовать при построении системы риск-менеджмента. Проблема «ограниченности» ресурсов – это проблема, которая приводит к возникновению дефицита продуктивности.

При реализации проектов, которые имеют высокую степень неопределенности, необходимо уделять повышенное внимание общеиспользуемой системе анализа и управления рисками. Такая система должна учитывать специфику, как деятельности, в которой происходят процессы, связанные с рисками, так и организационную составляющую проекта и организации, в которой он выполняется.

Организационная составляющая и внимание, которое уделяется работе с рисками это отдельная тема и направление деятельности, которому, к сожалению, в России отводится мизерные затраты. Примером этому может являться то, что во многих руководящих документах не рассматриваются аспект рисков в принципе, их допустимый уровень и ответственность за принятие определенного уровня рисков.

В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority –это лицо, уполномоченное принять решение о допустимости определенного уровня рисков, что свидетельствует о качественно ином отношении к анализу и управлению рисками, к которому в нашей стране, конечно со временем придут, но затратив для этого множество бесполезных ресурсов.

Вовлеченность всех работниках на всех уровнях структурной иерархии любого предприятия в деятельность по анализу рисков и более пристальное отношение со стороны руководства, смогли бы коренным образом изменить, годами складывающиеся, пессимистичные тенденции в данной области и тем самым вывести основные процессы ИТ отрасли на качественно иной уровень.

Ясное понимание целей и задач осуществляемой деятельности помогают выявлять и минимизировать подавляющее число причин, которые приводят к возникновению рисков.

Цели и задачи управления рисками

В основе деятельности по анализу и управлению рисками должно находиться явное, определенное и однозначное видение того, зачем необходимо данному, конкретному субъекту анализировать риски и управлять ими. Без четко намеченного плана (в идеальной ситуации, появившегося из стратегии развития) оценить и правильно идентифицировать информационные риски очень сложно, а порой даже невозможно. Успешность этих деятельностей будет зависеть только от квалификации обслуживающего их персонала, которая обсуждалась чуть ранее. Необходимо отметить отсутствие единого взгляда и стандарта/порядка/регламента, который смог бы описать и предложить путь решения всех явных и потенциальных проблем.

Каждая ситуация, каждый процесс состоит из множества элементарных объектов. Эти составляющие необходимо подвергнуть процедуре анализа. Подробность рассмотрения конкретной частицы зависит от величины вклада рассматриваемого объекта в результат деятельности.

Чем более сложные и многогранные процессы мы рассматриваем, тем более важным является детальная предварительная проработка сферы деятельности, методологии, в которой может возникнуть риск и применение лучших практик и методов, признанных и апробированных ранее в работе над ними.

Понимание целей помогает осознанно контролировать все рассматриваемые процессы, понимая заданный тренд и допустимые отклонения в его «пути».

Основная цель в активности анализа рисков – это предоставление наиболее полной и достаточной информации для адекватного управления рисками.

Под управлением более правильно понимать не «управление», как конкретную функцию менеджмента, но как саму дисциплину «менеджмент», которая заключает в себе 5 процессов:

• Управление
• Инициирование
• Планирование
• Выполнение
• Мониторинг и контроль

Процесс совершенствования, который получает в последнее время наиболее бурное развитие благодаря распространению процессного подхода к организации деятельности, рассматривать здесь не вполне корректно. Причина этого в том, что рисковая составляющая должна «гаситься» со временем проведения процессов анализа и управления.

Активность анализа подразумевает под собой выполнение части активности совершенствования за счет того, что своевременно выстроенная система метрик основных «ущербных» составляющих процесса или проекта на этапе мониторинга и контроля, позволит существенно сократить затраты на эту составляющую и направить их в более конструктивное русло.

Итогом стадии анализа является исчерпывающие количественные и качественные данные, поступающие на «вход» стадии управления. Результатом этой стадии является без рисковый или «подконтрольнорисковый» результат.

Воплотить на практике вышеприденные тезисы будет возможно в том случае, когда каждый субъект, задействованные и взаимодействующий с объектом, подверженному риску, осознает важность и необходимость своей вовлеченности в работу с рисками, появление которых, пусть даже гипотетически, возможно.

Понимание и участие в управлении анализа рисками и своевременная эскалация возникающих проблем и задач, на всех иерархических ступенях любой организации, позволит добиваться поставленных целей.

После того, как цели и задачи установлены, приняты и однозначно понимаются всеми участниками, следующей ступенью при работе с рисками является их идентификация (в планах следующая статья будет посвящена именно идентификации рисков). Базисом процесса идентификации является категорийная база, которая является инструментом для отнесения риска к той или иному классу или группе категорий рисков. «Помещение» риска в правильную категорию является залогом того, что в дальнейшем, работа по обработке доступной информации о нем и выработка дальнейшего алгоритма работы над ним, позволит устранить или уменьшить величину ущерба от его появления.

Классификация и категории рисков

На текущий момент развития области рисков в информационных технологиях уместно говорить о множественной типизации рисков. Отрасли информационных технологий присущ набор рисков, который наиболее характерен для рисков, связанных с высокотехнологичной и комплексной деятельностью, включающей в себя различные виды процессов. Набор рисков, характерный для определенного вида деятельности, называется комплексом рисков.

Когда речь заходит о комплексе, то, если использовать техническую терминологию, можно констатировать, что комплекс рисков является «взаимно пересекающим множеством» между всеми существующими комплексами рисков. Несмотря на рекурсивность получающегося определения, оно наиболее четко выражает сущность понятия комплекс рисков.

Комплексы рисков являются характерной составляющей для промышленности, финансовой и инвестиционных областей, коммерции, сферы кредитования и, конечно же, области информационных технологий. Таким образом, чем более сложный и комплексный вид деятельности, находящийся на «стыке» различных практических и теоретических областей, мы рассматриваем, тем более сложными и многогранными будут риски.

Информационные риски, возникающие в процессах и проектах, отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, на способ их анализа и методы первичного и последующих описаний.

Как правило, все виды рисков взаимосвязаны и эмерджентны, поэтому оказывают влияния на осуществляемую деятельность не только сами по себе, а и в совокупности.

Изменение одного вида риска может вызывать изменение большинства остальных, находящихся в определенном комплексе. Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Наиболее важными элементами, положенными в основу классификации рисков, являются:

• время возникновения;
• характер;
• факторы возникновения;
• последствия;
• и др.

По времени возникновения риски распределяются на ретроспективные (прошлые), текущие и перспективные (будущие) риски.

Анализ ретроспективных рисков, их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски, предсказывать возможную природу их появления и, соответственно, управлять ей.

По характеру риски делятся на:

• Внешние риски . К ним относятся риски, непосредственно не связанные с деятельностью предприятия или взаимодействующим с ним окружением (деятельность поставщиков, смежных компаний, внешних разработчиков, аутсорсинговые и консалтинговые компании, партнеры и т.д.).
• Внутренние риски . К ним относятся риски, обусловленные деятельностью самого предприятия и составляющей его аудитории (риски связанные с квалификацией персонала, ИТ инфраструктурой, используемых технологий и т.д.).
• Организационные риски (ОР) . ОР - это риски, связанные с ошибками менеджмента компании, ее сотрудников; проблемами системы внутреннего контроля, плохо разработанными правилами работ, то есть риски, связанные с внутренней организацией работы компании.
• Процессные риски (ПР). . ПР – это под раздел организационных рисков. Данный тип рисков характерен для отдельных видов процессов. Они связаны, как с выполнением отдельного процесса, так и с процессами, деятельность которых взаимосвязана функциями, которые они осуществляют (кросс-процессы).
• Проектные риски (ПРР) . ПРР – это риски, характеризующие степень опасности для успешного осуществления проекта в целом или его отдельных этапов.
• Операционные риски (ОПР). . ОПР – это риски, связанные с выполнением организацией определенных бизнес-операций.

Сложно не заметить, что классификация по фактору возникновения представляет собой «матрешку». Вложенность факторов соответствует распределению пунктов в процессной модели любой компании, при этом, каждый из рассмотренных групп рисков имеет «внутренние» классификации, которые могут быть декомпозированы и расширены до уровня, необходимого для отслеживания и контроля за определенным видом риска.

По последствиям риски подразделяются на:

• Чистые риски (иногда их еще называют простые или статические) характеризуются тем, что они практически всегда несут в себе потери для предпринимательской деятельности. Причинами чистых рисков могут быть стихийные бедствия, войны, несчастные случаи, преступные действия, недееспособности организации и др.
• Спекулятивные риски (иногда их еще называют динамическими или коммерческими) характеризуются тем, что могут нести в себе как потери, так и дополнительную прибыль для предпринимателя по отношению к ожидаемому результату. Причинами спекулятивных рисков могут быть изменение конъюнктуры рынка, изменение курсов валют, изменение налогового законодательства и т.д.

Говоря о последствиях возникновения рисков, нужно выделить отдельную классификацию по степени последствий возникновения рисков. Эта «подклассификация» является очень важной для принятия решений по осуществимости той или иной деятельности, связанной с рисками:

• Допустимый риск. Это риск решения, в результате неосуществления которого возможно «недостижение» поставленной цели деятельности. В пределах этой зоны деятельность сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой ценности.
• Критический риск. Это риск, при котором возможна потеря всей или части ценности результата; т.е. зона критического риска характеризуется опасностью потерь, которые заведомо превышают возможный результат и, в крайнем случае, могут привести к потере всех средств, вложенных в проект.
• Катастрофический риск. Это риск, при котором возникает полная потеря ценности и возможно, что субъект риска понесет дополнительные затраты. Также к этой группе относят любой риск, связанный с прямой опасностью для жизни или дальнейшей деятельности людей.

Успех при отнесении риска к тому или иному пункту данной классификации, напрямую зависит от многих факторов, для полноты взглядов можно выделить 2 из них:

• Количественная степень изученности и определенности конкретного вида рисков
• Квалификация, навык, опыт, «предвидение» риск-менеджера, принимающего решение по осуществлению деятельности, подверженной рискам.

Если, речь идет только о втором факторе, то, как отмечалось ранее, сложно говорить о том, что на предприятии выстроена качественная система по работе с рисками.

Успешность деятельности такой организации зависит только от конкретных специалистов, которые представляют собой «организацию в организации». Как правило, при уходе подобных специалистов, риск-менеджмент предприятия подвергается полному краху. Без четко выстроенной системы, в основу которой положена процессная модель с постоянным измерением результата деятельности, по заданным метрикам успешности, в современном мире высоких технологий, результат будет достичь довольно сложно. Но об этом чуть позже, в специально отведенной для этого статье.

Подводя итоги темы классификации рисков, надо упомянуть о том, что приведенные здесь классификация не претендует на полноту и достаточность. В любой активности, возможно появление рисков, которые несут на себе отпечаток и результаты специфичной деятельности конкретного предприятия. Проявление в них рисков, возможно и уникальны, единичны или присутствуют в групповых случаях, зависящих от конкретного окружения и четко определенных параметров деятельности, отдельно взятой организации. Такие риски должны быть рассмотрены отдельно, в соответствии с системой по анализу и управлению рисками, спроектированной под нужды данного конкретного предприятия.

Перед тем, как осуществлять классификацию рисков, необходимо правильно выявить оценить и понять предпосылки, которые могут привести к появлению или проявлению риска. Стадия анализа рисков, которая позволяет провести подобную активность – это идентификация риска. От того, насколько правильно и дальновидно проведена идентификация риска зависит верность выбранного метода по работе и минимизации дальнейшего возможного или явного ущерба.

Выводы

Мы завершили краткое саммэри в направление по анализу и управлению рисков, кратко очертив границы данной деятельности. Здесь мы постарались конспективно ознакомить коллег с многообразием видов, типов и составленной на их основе классификации рисков, возникновению которых, в сущности, как было нами показано, способствует, в большинстве случаев, неопределенность начальных условий или ресурсов.

В дальнейшем мы приступим к подробному рассмотрению предваряющей стадии анализа рисков – процессу их идентификации и связанных с ним методов и методологий.

Желаем коллегам совершенствования в работе с/над ИТ- рисками.

Всего доброго и до встречи!

Принятие решений управленческого характера и их последующее выполнение есть комплекс мероприятий по исполнению риск-менеджмента организации.

Данный менеджмент создан для контроля над вероятностью возникновения неблагоприятного результата, снижению потерь в процессе управления.

Основная цель снижение и предотвращение вероятности возникновения рисков в антикризисном управлении, сопряжённых с экономической деятельностью организации. Рассмотрим организацию риск-менеджмента предприятии.

Процесс организации

Основной составляющей антикризисного управления является управление рисками в организации в процессе разработки и реализации антикризисной стратегии предприятия. Это экономическое событие или непредвиденное изменение договора с партнёром, результат которого происшествие лишь нейтральных или отрицательных последствий. Получение дохода становится неопределённым, а вероятность утраты собственного капитала предприятия возрастает.

Управленческая деятельность напрямую сопряжена с рисковыми ситуациями в прогнозировании результата и принятия управленческих решений в сложившейся проблеме. Для того чтобы пережить кризис организации должны активно реагировать на опасность, принимать надлежащие меры для обеспечения оценки определения приоритетов в управлении .

Риск постоянно изменяется под воздействием внешних и внутренних факторов. Независимо от того, происходят ли эти изменения в бизнес-процессах самой компании, либо непосредственно в отрасли.

Компания с сильной стратегией будет периодически пересматривать свои программы и карты рисков, позволяя руководству по мере необходимости реагировать на эти изменения. Правильно функционирующая система управления позволяет компаниям рассматривать и оценивать различные возможности, а также создавать дополнительную стоимость, осмотрительно принимая риски.

Анализируя ситуацию и разрабатывая решения, сначала устанавливается, с какими видами ситуаций встретится менеджер в процессе управления. Способов проведения управленческих работ по риск-менеджменту очень много. В сравнительном анализе опасностей есть несколько основных этапов процесса управления риском.

Этап 1

Подразумевает постановку целей и определение масштаба проблем. Непосредственными, здесь выступают многочисленные экологические вопросы, требуемые решения в любой среде жизнедеятельности окружающей среды человека, самой окружающей среды, результатов работы предприятия и взаимодействия по их созданию или улучшению ситуации. Взаимовыгодное сотрудничество в области самой экологии здесь выступают отдельным вопросом, в чём и заключается масштабность и долгосрочная перспектива. Широкий круг участников определяет точные цели и задачи в этой области.

Этап 2

Подразумевает выбор мероприятий по сокращению или предотвращению рисков, которые были бы направлены на их достижение. Рассматриваются они с точки зрения их технологической и экономической выполнимости. Мероприятия избираются исходя непосредственно из этих показателей, критериев выбора. Во внимание принимаются в обязательном порядке сроки исполнения, критерий социальной справедливости и реалистичность выполнения, в соответствии с чем, и выполняются дальнейшие или планируемые взаимодействия отделов работы.

Этап 3

Создаются и анализируются этапы мероприятий по риск-менеджменту, в процессе нескончаемой проверки их исполнимости и эффективности для достижения поставленных целей. Применяются стратегии самого процесса управления. В ходе самой работы все предложенные мероприятия подвергаются анализу для оценки преимущества использования различных стратегий. В результате анализа избираются наиболее подходящие и целесообразные, наиболее эффективные. Здесь проходят и совещания членов группы. На основном этапе привлекаются широкий круг заинтересованных сторон, дабы избежать негативного отношения с их стороны.

Этап 4

Подразумевает осуществление контроля за выполнением различных этапов работ. Методы контроля зависят непосредственно от конкретных мероприятий и поставленных целей. Анализируется на каждом этапе показатели контроля и задачи выполняемых мероприятий. Осуществляется контроль на определённом промежутке времени, контроль результатов всех аспектов мероприятия и показатели соответствия масштаба.

В ряде западных стран давно произошёл переход к модели комплексных предупреждающих мероприятий на основе внедрения системы управления профессиональными рисками и формирования экономических стимулов для работодателей к улучшению условий труда. Он заключается в принятии законов, обязывающих самих работодателей проводить оценку риска, самим разрабатывать методические рекомендации по принципам и методам оценки, оформлять их в форме национальных стандартов.

Тщательному аудиту подвергаются правила по охране труда, в частности существующая система стандартов безопасности труда и придания стандартам статуса нормативно-правовых актов.

Новая система труда заключается в формировании на государственном уровне основных механизмов, методов и инструментов, с помощью которых можно объективно оценивать существующие риски, управлять ими и влиять на условия труда на рабочих местах.

В этой области проводятся масштабные исследования профессионального риска и создания статистической базы для дальнейшего глубокого анализа. Целей много, основная из которых снижение показателей производственного риска и безопасность труда. Управлением и внедрением системы управления профессиональными рисками на предприятиях занимаются центры охраны труда.

Методы управления финансами

Едва ли не наиважнейшая составляющая управления банка в целом является управление процентным риском.

Процентный риск – фактор, заметно влияющий на работу банка исключительно в условиях стабильной экономики, высокоразвитой инфраструктуры и финансового рынка, и жёсткой конкуренции.

Интерес банков к данному типу риска возрос. Здесь есть необходимость проводить сложные расчёты с охватом всех возможных источников его возникновения, а так же адекватного реагирования и правильности измерения. Необходимость составить полную картину связей и отношений, образующуюся при управлении процентными рисками и применить всевозможные средства управления им. Качественное управление предприятия включающего риск-менеджмент и есть условие стабильности и конкурентоспособности банка.

Финансовая устойчивость – это главный компонент общей устойчивости предприятия. Это такое состояние его финансовых ресурсов, их перераспределения и использования, когда обеспечиваются, развитие предприятия на основе собственной прибыли и рост капитала при сохранении его платежеспособности и кредитоспособности в условиях допустимого уровня финансового риска.

Видов риска несколько и рассчитывается максимальный возможный убыток по данному виду риска. Затем сопоставляется с объёмом капитала предприятия под риском. Потом сопоставляется весь возможный убыток с общим объёмом собственных финансов.

Методы управления финансовыми рисками является снижение потерь, связанных с данным риском до минимума, оцениваются в свою очередь и шаги по их предотвращению. Регламент управления рисками уравновешивает эти две оценки и планирует, как лучше заключить сделку с позиции минимизации опасности.

Инструментарная база управления рисками

Методы снижения риска — это методы управления, воздействующие на те, или иные стороны деятельности предприятия. Эти методы составляют четыре группы:

• Уклонение от рисков – это наиболее распространённая на практике организационная мера в управлении организации.
• Локализация опасностей точно определяет источник возникновения, прогнозируя сами опасности. Здесь срабатывает целая система контроля дочерних предприятий с рискованными проектами с использованием потенциала материнской компании.
• Диверсификация есть распределение риска между его участниками и структурными единицами.
• Компенсация связана с планированием, прогнозированием и мониторингом внешних сред для внедрения механизмов предупреждения опасности. А также создание системы резервов внутри организации, обучение и инструктаж его работников.

Неопределённость в управлении рисками проекта существует в каждом проекте. Они прогнозируются и не прогнозируются. При реализации управления проектов с высокой степенью неопределённости много внимания уделяется разработке и применению корпоративных методов управления рисками.

Применяются испробованные методы и этапы управления риском, учитывается специфика проектов и корпоративных методов управления. Данный процесс, включает выполнение процедур по методике снижения риска.