Управление рисками

Эта статья нуждается в дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найти источники:   «Управление рисками» – новости   · газеты   · книги   · ученые   · JSTOR ( январь 2014 г. ) ( Узнайте, как и когда удалить это сообщение )

Управление рисками — это идентификация, оценка и приоритезация рисков (определенных в ISO 31000 как влияние неопределенности на цели ) с последующим скоординированным и экономичным применением ресурсов для минимизации, мониторинга и контроля вероятности или воздействия неудачных событий. ^[1] или максимизировать реализацию возможностей.

Риски могут исходить из различных источников, включая неопределенность на международных рынках , политическую нестабильность , угрозы провала проекта (на любом этапе проектирования, разработки, производства или поддержания жизненного цикла), юридические обязательства, кредитный риск, несчастные случаи, природные причины и катастрофы. , преднамеренное нападение противника или события неопределенной или непредсказуемой первопричины .

Существует два типа событий: негативные события можно классифицировать как риски, а положительные события классифицировать как возможности. управления рисками Стандарты были разработаны различными учреждениями, в том числе Институтом управления проектами , Национальным институтом стандартов и технологий , актуарными обществами и стандартами ISO (стандарты управления качеством, помогающие работать более эффективно и уменьшать количество отказов продукции). ^{[2] [3] [4]} Методы, определения и цели сильно различаются в зависимости от того, применяется ли метод управления рисками в контексте управления проектами, безопасности, проектирования , промышленных процессов , финансовых портфелей, актуарных оценок или общественного здравоохранения и безопасности. Определенные стандарты управления рисками подвергались критике за отсутствие измеримого улучшения рисков, тогда как уверенность в оценках и решениях, похоже, возрастает. ^[1]

Стратегии управления угрозами (неопределенностями с негативными последствиями) обычно включают в себя избегание угрозы, снижение негативного эффекта или вероятности угрозы, передачу всей или части угрозы другой стороне и даже сохранение некоторых или всех потенциальных или фактических последствий угрозы. особая угроза. Противоположность этих стратегий может быть использована для реагирования на возможности (неопределенные будущие состояния с выгодами).

Как профессиональная роль , риск-менеджер ^[5] будет «контролировать комплексную программу страхования и управления рисками организации, оценивая и выявляя риски, которые могут помешать репутации, безопасности, защищенности или финансовому успеху организации», а затем разрабатывать планы по минимизации и / или смягчению любых негативных (финансовых) результатов. . Аналитики рисков ^[6] поддерживать техническую сторону подхода организации к управлению рисками: после того, как данные о рисках собраны и оценены, аналитики делятся своими выводами со своими менеджерами, которые используют эту информацию для принятия решения о возможных решениях. См. также Директор по управлению рисками , внутренний аудит и управление финансовыми рисками § Корпоративные финансы .

Введение [ править ]

Управление рисками появляется в научной и управленческой литературе с 1920-х годов. Официальной наукой это стало в 1950-х годах, когда в библиотечных поисках стали появляться статьи и книги со словом «управление рисками» в названии. ^[7] Большинство исследований изначально было связано с финансами и страхованием.

Широко используемый словарь для управления рисками определен в ISO Guide 73:2009 «Управление рисками. Словарь». ^[2]

В идеальном управлении рисками следует процесс определения приоритетов, при котором в первую очередь обрабатываются риски с наибольшими потерями (или последствиями) и наибольшей вероятностью возникновения. Риски с меньшей вероятностью возникновения и меньшими потерями обрабатываются в порядке убывания. На практике процесс оценки общего риска может быть трудным, и балансирование ресурсов, используемых для смягчения последствий между рисками с высокой вероятностью возникновения, но меньшими потерями, и рисками с высокими потерями, но с меньшей вероятностью возникновения, часто может быть неправильно выполнено.

Управление нематериальными рисками идентифицирует новый тип риска, который имеет 100% вероятность возникновения, но игнорируется организацией из-за отсутствия возможности идентификации. Например, когда к ситуации применяется недостаточное знание, знания материализуется риск . Риск в отношениях возникает, когда происходит неэффективное сотрудничество. Риск вовлечения в процесс может стать проблемой при применении неэффективных операционных процедур. Эти риски напрямую снижают производительность работников умственного труда, снижают экономическую эффективность, прибыльность, уровень обслуживания, качество, репутацию, ценность бренда и качество доходов. Управление нематериальными рисками позволяет управлению рисками создавать немедленную выгоду за счет выявления и снижения рисков, которые снижают производительность.

Альтернативная стоимость представляет собой уникальную задачу для риск-менеджеров. Может быть сложно определить, когда направить ресурсы на управление рисками, а когда использовать эти ресурсы где-то еще. Опять же, идеальное управление рисками сводит к минимуму расходы (или рабочую силу, или другие ресурсы), а также минимизирует негативные последствия рисков.

Риск определяется как возможность того, что произойдет событие, которое отрицательно повлияет на достижение цели. Таким образом, неопределенность является ключевым аспектом риска. Такие системы, как Комитет спонсорских организаций Комиссии Тредуэя по управлению рисками предприятия (COSO ERM), могут помочь менеджерам смягчить факторы риска. В каждой компании могут быть разные компоненты внутреннего контроля, что приводит к разным результатам. Например, структура компонентов ERM включает внутреннюю среду, постановку целей, идентификацию событий, оценку рисков, реагирование на риски, контрольную деятельность, информацию и коммуникацию и мониторинг.

Риски возможностей против ​

Возможности впервые появляются в научных исследованиях и книгах по менеджменту в 1990-х годах. В первом проекте свода знаний по управлению проектами PMBoK 1987 года возможности вообще не упоминаются.

Современная школа управления проектами признает важность возможностей. Возможности были включены в литературу по управлению проектами с 1990-х годов, например, в PMBoK, и стали важной частью управления рисками проекта в 2000-х годах. ^[8] когда статьи под названием «Управление возможностями» также начинают появляться в библиотечных поисках. Таким образом , управление возможностями стало важной частью управления рисками.

Современная теория управления рисками рассматривает любые внешние события, как положительные, так и отрицательные. Положительные риски называются возможностями . Подобно рискам, возможности имеют определенные стратегии смягчения: использовать, делиться, расширять, игнорировать.

На практике риски считаются «обычно негативными». Исследования и практика, связанные с рисками, гораздо больше внимания уделяют угрозам, чем возможностям. Это может привести к таким негативным явлениям, как фиксация цели. ^[9]

Метод [ править ]

По большей части эти методы состоят из следующих элементов, выполняемых более или менее в следующем порядке:

1. Определите угрозы
2. Оцените уязвимость критически важных активов к конкретным угрозам
3. Определить риск (т. е. ожидаемую вероятность и последствия конкретных типов атак на конкретные активы)
4. Определить способы снижения этих рисков
5. Приоритизировать меры по снижению риска

Область знаний по управлению рисками , как это определено Сводом знаний по управлению проектами PMBoK, состоит из следующих процессов:

1. Планирование управления рисками – определение того, как проводить мероприятия по управлению рисками.
2. Идентификация рисков – выявление отдельных рисков проекта, а также их источников.
3. Выполните качественный анализ рисков – определение приоритетности рисков отдельных проектов путем оценки вероятности и воздействия.
4. Выполните количественный анализ рисков – численный анализ последствий.
5. Планируйте реагирование на риски – разрабатывайте варианты, выбирайте стратегии и действия.
6. Реализация мер реагирования на риски – реализация согласованных планов реагирования на риски. В 4-м изд. В PMBoK этот процесс был включен как действие в процесс мониторинга и контроля, но позже был выделен в отдельный процесс в PMBoK 6th Ed. ^[10]
7. Мониторинг рисков – мониторинг реализации. Этот процесс был известен как «Мониторинг и контроль» в предыдущем PMBoK, 4-е изд., когда он также включал процесс « Реализации реагирования на риски ».

Принципы [ править ]

Международная организация по стандартизации (ISO) выделяет следующие принципы управления рисками: ^[11]

Управление рисками должно:

• Создайте ценность – ресурсы, затраченные на снижение риска, должны быть меньше, чем последствия бездействия.
• Быть неотъемлемой частью организационных процессов
• Будьте частью процесса принятия решений
• Явно учитывать неопределенность и предположения
• Быть систематическим и структурированным процессом
• Основаны на наилучшей доступной информации
• Быть адаптируемым
• Учитывайте человеческий фактор
• Будьте прозрачными и инклюзивными
• Будьте динамичными, итеративными и быстро реагируйте на изменения.
• Быть способным к постоянному совершенствованию и совершенствованию
• Постоянно или периодически проходить повторную оценку

дикий и риск Легкий

Бенуа Мандельброт проводил различие между «мягким» и «диким» риском и утверждал, что оценка и управление риском должны быть фундаментально разными для этих двух типов риска. ^[12] Умеренный риск соответствует нормальному или близкому к нормальному распределению вероятностей , подвержен регрессии к среднему значению и закону больших чисел и, следовательно, относительно предсказуем. Дикий риск следует за распределениями с толстым хвостом , например, распределением Парето или степенным законом , подвержен регрессии к хвосту (бесконечное среднее или дисперсия, что делает закон больших чисел недействительным или неэффективным), и поэтому его трудно или невозможно предсказать. По мнению Мандельброта, распространенной ошибкой при оценке и управлении риском является недооценка дикости риска, полагая, что риск является умеренным, тогда как на самом деле он является диким, чего следует избегать, если оценка риска и управление риском должны быть достоверными и надежными, по мнению Мандельброта.

Процесс [ править ]

Согласно стандарту ISO 31000 – «Управление рисками. Принципы и рекомендации по внедрению». ^[3] Процесс управления рисками состоит из нескольких этапов:

Установление контекста [ править ]

Это включает в себя:

1. наблюдение за контекстом
   • социальная сфера управления рисками
   • личность и цели заинтересованных сторон
   • основа, на которой будут оцениваться риски, ограничения.
2. определение рамок деятельности и программы идентификации
3. разработка анализа рисков, связанных с процессом
4. смягчение или решение рисков с использованием имеющихся технологических, человеческих и организационных ресурсов.

Идентификация [ править ]

После установления контекста следующим шагом в процессе управления рисками является выявление потенциальных рисков. Риски связаны с событиями, которые при возникновении вызывают проблемы или выгоды. Следовательно, идентификация рисков может начинаться с источника проблем и проблем конкурентов (выгода) или с последствий проблемы.

• Анализ источников ^[13] – Источники риска могут быть внутренними или внешними по отношению к системе, которая является целью управления рисками (используйте смягчение вместо управления, поскольку по своему определению риск связан с факторами принятия решений, которыми невозможно управлять).

Некоторыми примерами источников риска являются: заинтересованные стороны проекта, сотрудники компании или погода в аэропорту.

• Анализ проблемы ^{[ нужна цитата ]} – Риски связаны с выявленными угрозами. Например: угроза потери денег, угроза злоупотребления конфиденциальной информацией или угроза человеческих ошибок, несчастных случаев и человеческих жертв. Угрозы могут существовать в отношении различных организаций, наиболее важными из которых являются акционеры, клиенты и законодательные органы, такие как правительство.

Когда известен источник или проблема, можно исследовать события, которые может вызвать источник, или события, которые могут привести к проблеме. Например: выход заинтересованных сторон во время проекта может поставить под угрозу финансирование проекта; конфиденциальная информация может быть украдена сотрудниками даже в закрытой сети; Попадание молнии в самолет во время взлета может привести к немедленным травмам всех людей на борту.

Выбранный метод выявления рисков может зависеть от культуры, отраслевой практики и соблюдения требований. Методы идентификации формируются посредством шаблонов или разработки шаблонов для идентификации источника, проблемы или события. Распространенными методами выявления рисков являются:

• Идентификация рисков на основе целей ^{[ нужна цитата ]} – У организаций и проектных групп есть цели. Любое событие, которое может помешать достижению цели, идентифицируется как риск.
• Идентификация рисков на основе сценариев. При анализе сценариев создаются различные сценарии. Сценарии могут представлять собой альтернативные способы достижения цели или анализ взаимодействия сил, например, на рынке или в битве. Любое событие, которое запускает нежелательный альтернативный сценарий, идентифицируется как риск – , см. в разделе «Исследования будущего» методологию, используемую футуристами .
• Идентификация рисков на основе таксономии. Таксономия при идентификации рисков на основе таксономии представляет собой разбивку возможных источников риска. На основе таксономии и знания передового опыта составляется анкета. Ответы на вопросы раскрывают риски. ^[14]
• Проверка общих рисков ^[15] – В некоторых отраслях доступны списки известных рисков. Каждый риск в списке можно проверить на применимость к конкретной ситуации. ^[16]
• Диаграмма рисков ^[17] – Этот метод сочетает в себе вышеуказанные подходы путем составления списка ресурсов, находящихся под угрозой, угроз для этих ресурсов, изменения факторов, которые могут увеличить или уменьшить риск, а также последствий, которых следует избегать. Создание матрицы по этим разделам позволяет использовать различные подходы. Можно начать с ресурсов и рассмотреть угрозы, которым они подвергаются, и последствия каждой из них. В качестве альтернативы можно начать с угроз и изучить, на какие ресурсы они повлияют, или можно начать с последствий и определить, какая комбинация угроз и ресурсов будет задействована для их возникновения.

Оценка [ править ]

После того как риски идентифицированы, их необходимо оценить с точки зрения потенциальной серьезности воздействия (как правило, отрицательного воздействия, такого как ущерб или потери) и вероятности возникновения. Эти величины можно либо просто измерить, как в случае стоимости утраченного здания, либо невозможно узнать наверняка в случае маловероятного события, вероятность наступления которого неизвестна. Поэтому в процессе оценки крайне важно принимать наиболее обоснованные решения, чтобы правильно расставить приоритеты в реализации плана управления рисками .

Даже краткосрочное положительное улучшение может иметь долгосрочные негативные последствия. Возьмем пример «магистрали». Шоссе расширяют, чтобы обеспечить больше движения. Увеличение пропускной способности приводит к большему развитию областей, связанных с повышенной пропускной способностью. Таким образом, со временем трафик увеличивается, заполняя доступную пропускную способность. Таким образом, магистрали необходимо расширять, казалось бы, бесконечными циклами. Есть много других инженерных примеров, когда возросшая мощность (для выполнения какой-либо функции) вскоре заполняется возросшим спросом. Поскольку за расширение приходится платить, результирующий рост может стать неустойчивым без прогнозирования и управления.

Фундаментальной трудностью в оценке риска является определение частоты возникновения, поскольку статистическая информация доступна не по всем видам прошлых происшествий и особенно скудна в случае катастрофических событий просто из-за их нечастости. Кроме того, оценка тяжести последствий (воздействия) для нематериальных активов часто бывает весьма затруднительна. Оценка активов – еще один вопрос, требующий решения. Таким образом, наиболее образованные мнения и доступные статистические данные являются основными источниками информации. Тем не менее, оценка рисков должна предоставлять высшим руководителям организации такую ​​информацию, чтобы основные риски были легко понятны и чтобы решения по управлению рисками могли быть расставлены по приоритетам в рамках общих целей компании. Таким образом, существовало несколько теорий и попыток количественной оценки рисков. Существует множество различных формул риска, но, пожалуй, наиболее широко распространенной формулой количественной оценки риска является: «Частота (или вероятность) возникновения, умноженная на воздействие события, равна величине риска». ^{[ нечеткий ]}

Варианты риска [ править ]

Меры по снижению риска обычно формулируются в соответствии с одним или несколькими из следующих основных вариантов риска, а именно:

1. Разработайте новый бизнес-процесс с адекватными встроенными мерами контроля и сдерживания рисков с самого начала.
2. Периодически переоценивайте риски, которые принимаются в текущих процессах как нормальную особенность бизнес-операций, и меняйте меры по их снижению.
3. Передача рисков внешнему агентству (например, страховой компании)
4. Полностью избегать рисков (например, закрыв определенную сферу бизнеса с высоким уровнем риска)

Более поздние исследования ^[18] показало, что финансовые выгоды от управления рисками в меньшей степени зависят от используемой формулы, но в большей степени зависят от частоты и того, как выполняется оценка рисков.

В бизнесе крайне важно иметь возможность представить результаты оценки рисков в финансовом, рыночном или графике. Роберт Кортни-младший (IBM, 1970) предложил формулу представления рисков в финансовом выражении. Формула Кортни была принята в качестве официального метода анализа рисков для правительственных агентств США. Формула предлагает расчет ALE (годовая ожидаемая потеря) и сравнивает ожидаемую стоимость потерь с затратами на внедрение мер безопасности ( анализ затрат и выгод ).

рисков Обработка потенциальных ​

После того как риски идентифицированы и оценены, все методы управления рисками попадают в одну или несколько из этих четырех основных категорий: ^[19]

• Избегание (устранение, отказ от участия или неучастие)
• Сокращение (оптимизировать – смягчить)
• Совместное использование (передача – аутсорсинг или страхование)
• Удержание (принятие и бюджет)

Идеальное использование этих стратегий контроля рисков может оказаться невозможным. Некоторые из них могут включать компромиссы, которые неприемлемы для организации или лица, принимающего решения по управлению рисками. Другой источник из Министерства обороны США (см. ссылку), Университет оборонного снабжения , называет эти категории ACAT, что означает «Избегать», «Контроль», «Принятие» или «Передача». Такое использование аббревиатуры ACAT напоминает другое ACAT (категория закупок), используемое в закупках оборонной промышленности США, в которых управление рисками занимает видное место в процессе принятия решений и планирования.

Подобно рискам, возможности имеют определенные стратегии смягчения: использовать, делиться, расширять, игнорировать.

Уклонение от риска [ править ]

Это включает в себя отказ от выполнения действий, которые могут представлять риск. Одним из таких примеров является отказ от покупки недвижимости или бизнеса во избежание юридической ответственности . Избегание полетов на самолете из-за страха быть угоном . Избегание может показаться ответом на все риски, но избегание рисков также означает потерю потенциальной выгоды, которую могло бы дать принятие (сохранение) риска. Не вступление в бизнес во избежание риска потерь также исключает возможность получения прибыли. Ужесточение регулирования рисков в больницах привело к отказу от лечения состояний с более высоким риском в пользу пациентов с более низким риском. ^[20]

Снижение риска [ править ]

Снижение риска или «оптимизация» предполагает снижение серьезности потерь или вероятности их возникновения. Например, спринклеры предназначены для тушения пожара , чтобы снизить риск потерь в результате пожара. Этот метод может привести к большим потерям из-за повреждения водой и поэтому может оказаться непригодным. Системы пожаротушения с использованием галона могут снизить этот риск, но стоимость такой стратегии может оказаться непомерно высокой .

Признавая, что риски могут быть положительными или отрицательными, оптимизация рисков означает нахождение баланса между отрицательным риском и выгодой от операции или деятельности; и между снижением риска и приложенными усилиями. Эффективно применяя стандарты управления охраной труда, техники безопасности и окружающей среды (HSE), организации могут достичь приемлемых уровней остаточного риска . ^[21]

Современные методологии разработки программного обеспечения снижают риски за счет поэтапной разработки и поставки программного обеспечения. Ранние методологии страдали от того, что они поставляли программное обеспечение только на заключительной стадии разработки; любые проблемы, возникшие на более ранних этапах, означали дорогостоящую доработку и часто ставили под угрозу весь проект. Разрабатывая итерации, программные проекты могут ограничить затрачиваемые усилия одной итерацией.

Аутсорсинг может быть примером стратегии разделения рисков, если аутсорсинг может продемонстрировать более высокие способности в управлении или снижении рисков. ^[22] Например, компания может передать другой компании только разработку программного обеспечения, производство товаров повседневного спроса или поддержку клиентов, одновременно занимаясь управлением бизнесом. Таким образом, компания может больше сосредоточиться на развитии бизнеса, не беспокоясь особо о производственном процессе, управлении командой разработчиков или поиске физического местоположения для центра. Кроме того, внедрение средств контроля также может быть вариантом снижения риска. Средства контроля, которые либо обнаруживают причины нежелательных событий до появления последствий, возникающих во время использования продукта, либо выявляют коренные причины нежелательных сбоев, которых команда может затем избежать. Средства контроля могут быть сосредоточены на процессах управления или принятия решений. Все это может помочь принять более правильные решения относительно риска. ^[23]

Разделение рисков [ править ]

Кратко определяется как «разделение с другой стороной бремени потерь или выгод от риска, а также мер по снижению риска».

Термин «передача риска» часто используется вместо разделения рисков, поскольку ошибочно полагают, что вы можете передать риск третьей стороне посредством страхования или аутсорсинга. На практике, если страховая компания или подрядчик обанкротятся или предстанут перед судом, первоначальный риск, скорее всего, все равно вернется к первой стороне. Таким образом, в терминологии как практиков, так и ученых, покупка страхового контракта часто описывается как «передача риска». Однако с технической точки зрения покупатель контракта обычно сохраняет за собой юридическую ответственность за «перенесенные» убытки, а это означает, что страхование можно точнее описать как компенсационный механизм после события. Например, полис страхования от травм не передает риск автомобильной аварии страховой компании. Риск по-прежнему лежит на страхователе, а именно на человеке, попавшем в аварию. Страховой полис просто предусматривает, что в случае возникновения несчастного случая (события) с участием держателя полиса страхователю может быть выплачена некоторая компенсация, соразмерная страданиям/ущербу.

Методы управления рисками делятся на несколько категорий. Пулы удержания риска технически сохраняют риск для группы, но его распространение на всю группу предполагает передачу риска между отдельными членами группы. Это отличается от традиционного страхования тем, что члены группы не обмениваются страховыми премиями заранее, а вместо этого убытки распределяются между всеми членами группы.

Удержание риска [ править ]

Удержание риска предполагает принятие убытка или выгоды от риска в случае возникновения инцидента. Настоящее самострахование попадает в эту категорию. Удержание риска является жизнеспособной стратегией для небольших рисков, когда стоимость страхования от риска с течением времени будет выше, чем общие понесенные убытки. Все риски, которые не удалось избежать или перенести, по умолчанию сохраняются. Сюда входят риски, которые настолько велики или катастрофичны, что либо их невозможно застраховать, либо страховые премии будут неоправданными. Война является примером, поскольку большая часть имущества и рисков не застрахована от войны, поэтому убытки, связанные с войной, сохраняются застрахованным. Также любые суммы потенциальных убытков (рисков), превышающие страховую сумму, являются сохраняемым риском. Это также может быть приемлемо, если вероятность очень больших убытков невелика или если стоимость страхования на большие суммы покрытия настолько велика, что это слишком сильно помешает достижению целей организации.

План управления рисками [ править ]

Выберите соответствующие меры контроля или контрмеры для смягчения каждого риска. Меры по снижению рисков должны быть одобрены руководством соответствующего уровня. Например, риск, касающийся имиджа организации, должен основываться на решении высшего руководства, тогда как руководство ИТ должно иметь полномочия принимать решения по рискам компьютерных вирусов.

План управления рисками должен предлагать применимые и эффективные меры безопасности для управления рисками. Например, наблюдаемый высокий риск компьютерных вирусов можно снизить путем приобретения и внедрения антивирусного программного обеспечения. Хороший план управления рисками должен содержать график осуществления контроля и ответственных за эти действия. План управления рисками состоит из четырех основных этапов: оценка угроз, оценка уязвимости, оценка воздействия и разработка стратегии снижения рисков. ^[24]

Согласно ISO/IEC 27001 , этап сразу после завершения этапа оценки рисков состоит из подготовки Плана обработки рисков, который должен документировать решения о том, как следует обрабатывать каждый из выявленных рисков. Смягчение рисков часто означает выбор мер безопасности , которые должны быть задокументированы в Заявлении о применимости, которое определяет, какие конкретные цели мер безопасности и меры безопасности из были выбраны стандартные и почему.

Реализация [ править ]

Внедрение соответствует всем запланированным методам смягчения воздействия рисков. Приобретите страховые полисы для рисков, которые решено передать страховщику, избегайте всех рисков, которых можно избежать, не жертвуя целями организации, сократите другие и сохраните остальные.

Обзор и оценка плана [ править ]

Первоначальные планы управления рисками никогда не будут идеальными. Практика, опыт и фактические результаты потерь потребуют внесения изменений в план и предоставят информацию, позволяющую принять возможные различные решения при борьбе с возникающими рисками.

Результаты анализа рисков и планы управления должны периодически обновляться. Для этого есть две основные причины:

1. оценить, применимы ли и эффективны ли ранее выбранные меры безопасности
2. оценить возможные изменения уровня риска в бизнес-среде. Например, информационные риски являются хорошим примером быстро меняющейся бизнес-среды.

Районы [ править ]

Предприятие [ править ]

Управление рисками предприятия (ERM) определяет риск как те возможные события или обстоятельства, которые могут оказать негативное влияние на предприятие рассматриваемое . где воздействие может касаться самого существования, ресурсов (человеческих и капиталов), продуктов и услуг или клиентов предприятия, а также внешних воздействий на общество, рынки или окружающую среду. Здесь существуют различные определенные рамки , в которых каждый вероятный риск может иметь заранее сформулированный план борьбы с его возможными последствиями (чтобы обеспечить непредвиденные обстоятельства , если риск станет ответственностью ). Таким образом, менеджеры анализируют и контролируют как внутреннюю, так и внешнюю среду, с которой сталкивается предприятие, рассматривая бизнес-риски в целом и любое влияние на достижение предприятием своих стратегических целей . Таким образом, ERM пересекается с различными другими дисциплинами – управлением операционными рисками , управлением финансовыми рисками и т. д. – но отличается своей стратегической и долгосрочной направленностью. ^[25] Системы ERM обычно ориентированы на защиту репутации, признавая ее важную роль в комплексных стратегиях управления рисками. ^[26]

Финансы [ править ]

Применительно к финансам управление рисками касается методов и практик измерения, мониторинга и контроля рыночного риска , кредитного риска и операционного риска фирмы на балансе , на кредите банка или на торговых рисках, а также управляющего фондом на портфеле . ценить; обзор см. в разделе «Финансы § Управление рисками» .

• Традиционной мерой в банковском деле является стоимость риска (VaR) – возможные потери из-за неблагоприятных кредитных и рыночных событий. Банки стремятся хеджировать эти риски и будут удерживать рисковый капитал на чистой позиции. Базель III регулирует параллельные нормативные требования к капиталу, в том числе в отношении операционного риска.
• Управляющие фондами используют различные стратегии для защиты стоимости своих фондов; они учитывая их мандат и ориентиры .
• Нефинансовые компании сосредотачивают внимание на бизнес-рисках в более общем плане, дублируя управление рисками предприятия : т.е. те события и события, которые могут негативно повлиять на денежный поток или прибыльность и, следовательно, привести к потере стоимости бизнеса или падению цены акций .

Информационные технологии [ править ]

В информационных технологиях управление рисками включает в себя «Обработку инцидентов», план действий по борьбе со вторжениями, кибер-кражей, отказом в обслуживании, пожаром, наводнениями и другими событиями, связанными с безопасностью. По данным Института SANS , это шестиэтапный процесс: подготовка, идентификация, сдерживание, искоренение, восстановление и извлеченные уроки. ^[27]

договорными Управление рисками ​

Концепция «управления договорными рисками» подчеркивает использование методов управления рисками при развертывании контракта, т.е. управление рисками, которые принимаются при заключении контракта. Норвежский академик Петри Кескитало определяет «управление договорными рисками» как «практический, упреждающий и систематический метод заключения контрактов, который использует планирование и управление контрактами для управления рисками, связанными с деловой деятельностью». ^[28] В статье Сэмюэля Грингарда, опубликованной в 2010 году, упоминаются два судебных дела в США, в которых подчеркивается важность наличия стратегии борьбы с рисками: ^[29]

• UDC против CH2M Hill , в котором речь идет о риске для профессионального консультанта, который подписывает положение о возмещении ущерба , включая принятие на себя обязанности по защите , который может тем самым взять на себя судебные издержки по защите клиента, являющегося предметом иска третьей стороны, ^[30]
• Дело «Витт против загородного клуба Ла Горс», в котором рассматривается эффективность положения об ограничении ответственности , которое в некоторых юрисдикциях может быть признано неэффективным. ^[31]

Грингард рекомендует максимально использовать стандартные для отрасли формулировки договоров, чтобы максимально снизить риск, и полагаться на положения, которые использовались и подлежат толкованию в суде на протяжении ряда лет. ^[29]

Таможня [ править ]

Управление таможенными рисками связано с рисками, которые возникают в контексте международной торговли и влияют на безопасность и защищенность, включая риск того, что незаконные наркотики и контрафактные товары могут пересекать границы, а также риск неправильного декларирования грузов и их содержимого. ^[32] Европейский Союз принял Рамочную систему управления таможенными рисками (CRMF), применимую на территории Союза и во всех его государствах-членах , цели которой включают установление общего уровня защиты таможенного контроля и баланса между целями безопасного таможенного контроля и облегчением законной торговли. . ^[33] Двумя событиями, которые побудили Европейскую комиссию пересмотреть политику управления таможенными рисками в 2012-2013 годах, стали теракты 11 сентября 2001 года и трансатлантический заговор с участием самолета, взорвавший в 2010 году посылки, отправляемые из Йемена в Соединенные Штаты , который Комиссия назвала «терактом 11 сентября 2001 года». Инцидент в октябре 2010 г. (Йемен). ^[34]

Учреждения памяти (музеи, библиотеки и архивы) [ править ]

Безопасность предприятия [ править ]

ESRM — это подход к управлению программами безопасности, который связывает действия по обеспечению безопасности с миссией и бизнес-целями предприятия посредством методов управления рисками. Роль руководителя службы безопасности в ESRM заключается в управлении рисками нанесения ущерба активам предприятия в партнерстве с руководителями бизнеса, чьи активы подвержены этим рискам. ESRM включает в себя обучение бизнес-лидеров реалистичному влиянию выявленных рисков, представление потенциальных стратегий по смягчению этих воздействий, а затем реализацию варианта, выбранного бизнесом, в соответствии с принятыми уровнями толерантности к бизнес-рискам. ^[35]

Медицинские приборы [ править ]

Для медицинских устройств управление рисками — это процесс выявления, оценки и снижения рисков, связанных с причинением вреда людям и ущербом имуществу или окружающей среде. Управление рисками является неотъемлемой частью проектирования и разработки медицинских изделий, производственных процессов и оценки практического опыта и применимо ко всем типам медицинских изделий. Доказательства его применения требуются большинством регулирующих органов, таких как FDA США . Управление рисками для медицинских устройств описано Международной организацией по стандартизации (ISO) в стандарте ISO 14971:2019 « Медицинские устройства. Применение управления рисками к медицинским устройствам», стандарте безопасности продукции. Стандарт обеспечивает структуру процесса и связанные с ним требования к обязанностям руководства, анализу и оценке рисков, контролю рисков и управлению рисками жизненного цикла. Руководство по применению стандарта доступно в ISO/TR 24971:2020.

Европейская версия стандарта управления рисками была обновлена ​​в 2009 году и снова в 2012 году, чтобы ссылаться на Директиву о медицинских устройствах (MDD) и Директиву об активных имплантируемых медицинских устройствах (AIMDD), пересмотренную в 2007 году, а также на Директиву о медицинских устройствах in vitro (IVDD). ). Требования EN 14971:2012 практически идентичны требованиям ISO 14971:2007. Различия включают три «(информативных)» Z-приложения, которые относятся к новым MDD, AIMDD и IVDD. снижении рисков В этих приложениях указаны отклонения в содержании, которые включают требование о максимально возможном и требование о том, чтобы риски снижались за счет конструкции, а не путем маркировки на медицинском изделии (т. е. маркировка больше не может использоваться для снижения риска).

Типичные методы анализа и оценки рисков, применяемые в отрасли медицинского оборудования, включают анализ опасностей , анализ дерева отказов (FTA), анализ видов и последствий отказов (FMEA), исследование опасностей и работоспособности ( HAZOP ), а также анализ прослеживаемости рисков для обеспечения внедрения средств управления рисками. и эффективным (т.е. отслеживание рисков, выявленных в соответствии с требованиями к продукции, проектными спецификациями, результатами проверки и валидации и т. д.). Для анализа FTA требуется программное обеспечение для построения диаграмм. FMEA-анализ можно выполнить с помощью программы для работы с электронными таблицами . Существуют также интегрированные решения по управлению рисками для медицинского оборудования.

В проекте руководства FDA представило еще один метод, названный «Обоснование обеспечения безопасности», для анализа обеспечения безопасности медицинского оборудования. Обоснование обеспечения безопасности представляет собой структурированное рассуждение о системах, подходящих для ученых и инженеров, подкрепленное совокупностью доказательств, которые обеспечивают убедительные, понятные и обоснованные доказательства того, что система безопасна для данного применения в данной среде. Согласно этому руководству, ожидается, что в рамках предпродажной очистки будет представлено обоснование безопасности для устройств, критически важных для безопасности (например, инфузионных устройств), например 510(k). В 2013 году FDA представило еще один проект руководства, согласно которому производители медицинского оборудования должны предоставлять информацию по анализу рисков кибербезопасности.

Управление проектом [ править ]

Управление рисками проекта должно рассматриваться на различных этапах приобретения. В начале проекта развитие технических разработок или угрозы, исходящие от проектов конкурентов, могут вызвать оценку риска или угрозы и последующую оценку альтернатив (см. «Анализ альтернатив» ). После принятия решения и начала проекта можно использовать более знакомые приложения для управления проектами: ^{[36] [37] [38]}

• Планирование того, как будет управляться риск в конкретном проекте. Планы должны включать задачи, обязанности, мероприятия и бюджет по управлению рисками.
• Назначение специалиста по рискам – члена команды, отличного от менеджера проекта, который отвечает за прогнозирование потенциальных проблем проекта. Типичная характеристика специалиста по рискам — здоровый скептицизм.
• Ведение актуальной базы данных рисков проекта. Каждый риск должен иметь следующие атрибуты: дату открытия, название, краткое описание, вероятность и важность. При желании риск может иметь назначенное лицо, ответственное за его разрешение, и дату, к которой риск должен быть решен.
• Создание анонимного канала сообщения о рисках. Каждый член команды должен иметь возможность сообщать о рисках, которые он/она предвидит в проекте.
• Подготовка планов смягчения рисков, которые выбраны для смягчения. Цель плана смягчения — описать, как будет обрабатываться этот конкретный риск — что, когда, кем и как это будет сделано, чтобы избежать его или минимизировать последствия, если он станет ответственностью.
• Подведение итогов запланированных и возникших рисков, эффективности мероприятий по смягчению последствий и усилий, затраченных на управление рисками.

Мегапроекты (инфраструктура) [ править ]

Мегапроекты (иногда называемые «крупными программами») — это крупномасштабные инвестиционные проекты, стоимость каждого проекта обычно превышает 1 миллиард долларов. Мегапроекты включают в себя крупные мосты, туннели, автомагистрали, железные дороги, аэропорты, морские порты, электростанции, плотины, проекты по очистке сточных вод, схемы защиты прибрежных наводнений, проекты по добыче нефти и природного газа, общественные здания, системы информационных технологий, аэрокосмические проекты и оборонные системы. Было показано, что мегапроекты особенно рискованны с точки зрения финансов, безопасности, а также социальных и экологических последствий. Поэтому управление рисками особенно актуально для мегапроектов, и для такого управления рисками были разработаны специальные методы и специальное обучение. ^[39]

Стихийные бедствия [ править ]

Важно оценить риск стихийных бедствий, таких как наводнения , землетрясения и т. д. Результаты оценки риска стихийных бедствий имеют ценность при рассмотрении будущих затрат на ремонт, потерь от простоев в работе и других простоев, воздействия на окружающую среду, затрат на страхование и предлагаемых затрат на снижение риска. ^{[40] [41]} Сендайская рамочная программа по снижению риска стихийных бедствий — это международное соглашение 2015 года, в котором установлены цели и задачи по снижению риска стихийных бедствий в ответ на стихийные бедствия. ^[42] регулярно проводятся международные конференции по стихийным бедствиям и рискам, В Давосе посвященные комплексному управлению рисками.

Для оценки риска и управления рисками стихийных бедствий и других климатических явлений можно использовать несколько инструментов, включая геопространственное моделирование, ключевой компонент науки об изменении земель . Такое моделирование требует понимания географического распределения людей, а также способности рассчитать вероятность возникновения стихийного бедствия.

Дикая местность [ править ]

Управление рисками для людей и имущества в дикой природе и отдаленных природных зонах развивалось по мере увеличения участия в отдыхе на природе и снижения социальной терпимости к потерям. Организации, предоставляющие коммерческий опыт работы в дикой природе, теперь могут соответствовать национальным и международным стандартам обучения и оборудования, таким как ANSI /NASBLA 101-2017 (лодочный спорт), ^[43] УИАА 152 (инструменты для ледолазания), ^[44] и Европейский стандарт 13089:2015 + A1:2015 (альпинистское снаряжение). ^{[45] [46]} Ассоциация экспериментального образования предлагает аккредитацию для программ приключений в дикой природе. ^[47] Конференция по управлению рисками дикой природы предоставляет доступ к передовому опыту, а специализированные организации предоставляют консультации и обучение по управлению рисками дикой природы. ^[48]

Текст «Безопасность на открытом воздухе – управление рисками для лидеров активного отдыха», ^[49] опубликованный Советом по безопасности горных районов Новой Зеландии, представляет собой взгляд на управление рисками, связанными с дикой природой, с точки зрения Новой Зеландии, признавая ценность национального законодательства по безопасности на открытом воздухе и уделяя значительное внимание роли процессов оценки и принятия решений в управлении рисками, связанными с дикой природой.

Одной из популярных моделей оценки рисков является Модель оценки рисков и управления безопасностью (RASM), разработанная Риком Кертисом, автором «Полевого руководства для туристов». ^[50] Формула модели RASM: Риск = Вероятность аварии × Тяжесть последствий. Модель RASM сопоставляет отрицательный риск (потенциал потерь) и положительный риск (потенциал роста).

Информационные технологии [ править ]

ИТ-риск – это риск, связанный с информационными технологиями. Это относительно новый термин из-за растущего осознания того, что информационная безопасность — это просто один из аспектов множества рисков, которые имеют отношение к ИТ и поддерживаемым ими процессам реального мира. «Кибербезопасность тесно связана с развитием технологий. Она отстает лишь на время, достаточное для развития таких стимулов, как черный рынок, и обнаружения новых эксплойтов. Развитию технологий не видно конца, поэтому мы можем ожидать того же от кибербезопасности. ." ^[51]

ISACA Структура ИТ -рисков связывает ИТ-риски с управлением рисками предприятия .

Анализ рисков по обязанностям по уходу (DoCRA) ^[52] оценивает риски и средства их защиты и учитывает интересы всех сторон, потенциально затронутых этими рисками.

В отчете Verizon Data Breach Investigations (DBIR) показано, как организации могут использовать базу данных сообщества Veris (VCDB) для оценки риска. HALOCK Используя методологию в CIS RAM и данные из VCDB, профессионалы могут определить вероятность угроз для своих отраслей.

Операции [ править ]

Управление операционным риском (ORM) — это надзор за операционным риском , включая риск потерь в результате: неадекватных или сбойных внутренних процессов и систем; человеческие факторы; или внешние события. Учитывая характер операций , ORM обычно представляет собой «непрерывный» процесс и включает в себя постоянную оценку рисков, принятие решений о рисках и внедрение средств контроля рисков.

Нефть и природный газ [ править ]

управление операционными рисками в морской нефтегазовой отрасли регулируется режимом обоснования безопасности Во многих странах . Инструменты и методы выявления опасностей и оценки рисков описаны в международном стандарте ISO 17776:2000, а такие организации, как IADC ( Международная ассоциация буровых подрядчиков ), публикуют рекомендации по разработке сценариев по охране труда, технике безопасности и охране окружающей среды (HSE), основанные на Стандарт ИСО. Кроме того, государственные регулирующие органы часто ожидают схематического изображения опасных событий в рамках управления рисками при представлении обоснований безопасности; они известны как диаграммы-бабочки (см. Сетевая теория в оценке рисков ). Этот метод также используется организациями и регулирующими органами в горнодобывающей промышленности, авиации, здравоохранении, обороне, промышленности и финансах.

Фармацевтический сектор [ править ]

Принципы и инструменты управления рисками качества все чаще применяются к различным аспектам фармацевтических систем качества. Эти аспекты включают процессы разработки, производства, распространения, проверки и подачи/рассмотрения на протяжении всего жизненного цикла лекарственных субстанций, лекарственных препаратов, биологических и биотехнологических продуктов (включая использование сырья, растворителей, вспомогательных веществ, материалов для упаковки и маркировки в лекарственных препаратах, биологические и биотехнологические продукты). Управление рисками также применяется для оценки микробиологического загрязнения фармацевтической продукции и чистых производственных помещений. ^[53]

Цепочка поставок [ править ]

Управление рисками цепочки поставок (SCRM) направлено на поддержание непрерывности цепочки поставок в случае возникновения сценариев или инцидентов, которые могут нарушить нормальный бизнес и, следовательно, прибыльность. Риски для цепочки поставок варьируются от повседневных до исключительных, включая непредсказуемые природные явления (такие как цунами и пандемии ) и контрафактную продукцию, а также затрагивают качество, безопасность, отказоустойчивость и целостность продукции. Снижение этих рисков может затрагивать различные элементы бизнеса, включая логистику и кибербезопасность, а также области финансов и операций.

Информирование о рисках [ править ]

См. также [ править ]

Ссылки [ править ]

Внешние ссылки [ править ]

• Руководство Министерства обороны США по управлению рисками, проблемами и возможностями для программ оборонных закупок. Архивировано 4 июля 2017 г. в Wayback Machine (2017).
• DoD Risk Management Guide for Defense Acquisition Programs (2014)
• Media related to Risk management at Wikimedia Commons