- сильные и слабые стороны организации, ее конкурентоспособность;
- ключевые тенденции на рынках.
б) Установить внутренний контекст.
Понимание внутренней среды организации и внутренних процессов включает изучение:
- внутренних заинтересованных сторон;
- внутренней организационной структуры;
- внутренних возможностей людских ресурсов, систем, процессов, капитала;
- целей и стратегий.
Установление внутреннего контекста важно, в частности, потому, что управление риском имеет место одновременно и в контексте достижения целей организации, и в контексте повседневных ее действий, а также помогает организации сосредоточиться на ее сильных и слабых сторонах для достижения целей, учитывая восприятие и ожидания заинтересованных сторон.
в) Установить контекст менеджмента риска
Область управления риском находится в зависимости от потребностей организации. Например, действия по управлению риском могут затронуть как всю организацию или ее часть, так и лишь отдельные процессы деятельности организации, проекты некоторых типов и т.д.
г) Разработать критерии риска
Необходимо определить критерии, относительно которых риск подлежит оцениванию на базе контекста. Решения относительно того, требуется ли обработка риска, могут базироваться на критериях эксплуатационного, технического, финансового, юридического, социального, экологического, гуманитарного и иного характера. Критерии могут также ориентироваться на восприятие заинтересованных сторон, законодательные и иные регулирующие требования.
Важными критериями риска, которые необходимо рассмотреть, являются:
- последствия, которые подлежат учету, и то, как они будут измерены;
- каким образом будет определена вероятность;
- как должен быть определен уровень риска;
- какой уровень риска может требовать обработки.
д) Определить структуру остальной части процесса.
Этот шаг включает выполнение обзора предложенной структуры в пределах характеристик риска и его контекста относительно отдельных подразделений.
Идентификация риска
Всесторонняя идентификация, использующая хорошо структурированный систематический процесс, является особенно важной, потому что риск, не идентифицированный в этом элементе, может быть исключен из дальнейшего анализа. Идентификация риска включает идентификацию источника риска, события и потенциальных последствий (если возможно, идентификация риска может также рассмотреть возможность управления риском). При этом необходимо получить ответы на довольно простые вопросы: что может случиться, когда, где, как и почему? Цель состоит в том, чтобы выявить исчерпывающий список источников рисков и событий, которые могут иметь воздействие на достижение каждой из целей, идентифицированных в контексте.
Существенно, чтобы лица, вовлеченные в идентификацию источников рисков, были хорошо осведомлены о детальных аспектах источника и причин риска. Идентификация источников рисков может также потребовать образного мышления и наличия соответствующего опыта.
Как следует из проекта, идентифицировав событие, которое может произойти, необходимо рассмотреть возможные причины и сценарии последствий. Важно, чтобы никакие существенные причины не были упущены. Выбор подходов, используемых для идентификации («мозговой штурм», сценарный анализ, анализ систем и т.д.), будет зависеть от характера рассматриваемых действий, типа риска, организационного контекста и цели.
Анализ риска
В Проекте указывается, что результатом процесса должно явиться достаточно детальное понимание уровня риска и его характера для последующей обработки. Риск анализируется путем комбинации последствий и их вероятности. В большинстве случаев должен быть принят во внимание существующий контроль.
Предварительный анализ может быть выполнен на этом этапе или при идентификации риска, с тем, чтобы сходные риски были объединены для эффективности анализа, а риски низшего уровня исключены из детального изучения. Однако подобные риски, где возможно, должны быть внесены в список, чтобы продемонстрировать законченность анализа.
Источниками информации для анализа рисков могут быть:
- предыдущие записи, практика и соответствующий опыт;
- тематическая литература;
- маркетинговые исследования;
- результаты публичных консультаций;
- эксперименты и опытные образцы;
- экономические, проектные и другие модели;
- экспертные суждения.
Что касается используемого метода анализа, то на его выбор будут влиять соответствующий контекст, цели, доступные ресурсы и текущее состояние знаний. Среди используемых методов — интервью с экспертами в соответствующей области, использование междисциплинарных групп экспертов, индивидуальные оценки с использованием анкетных опросов, использование моделирования.
При этом в зависимости от обстоятельств анализ риска может быть (по мере снижения сложности и затрат): качественным, полуколичественным, количественным или комбинированным. Проект содержит характеристики каждого из них (в данной статье не рассматриваются).
Оценивание риска
Оценивание риска, как следует из Проекта, состоит в том, чтобы принять решения, основанные на анализе риска, об обработке необходимых рисков и приоритетах такой обработки. Оценивание риска включает сравнение уровня риска, определенного в процессе анализа, с критериями риска, установленными, когда рассматривался контекст.
В некоторых случаях оценивание риска может иметь результатом решение о дальнейшем анализе или об отказе в обработке риска, учитывая существующий контроль.
Обработка риска
Обработка риска включает идентификацию диапазона вариантов для обработки рисков, оценку этих вариантов, подготовку и выполнение планов обработки. Отбор самого адекватного варианта обработки является балансированием затрат осуществления каждого из вариантов относительно выгод, полученных в результате его реализации.
В целом надо учесть, что стоимость управления рисками должна быть соразмерна полученным выгодам.
Следует иметь в виду, что организация может извлечь выгоду и посредством комбинации вариантов. Примером может быть эффективное использование контрактов и определенных обработок риска, поддерживаемых соответствующим страхованием. При этом, если бюджет для обработки риска ограничен, план обработки должен ясно идентифицировать порядок приоритетов, в котором обработка риска выполняется.
Цель планов обработки - документировать процесс, используемый для выполнения выбранных вариантов. Планы обработки должны быть интегрированы с менеджментом
и бюджетными процессами в организации и должны включать:
- предлагаемые действия и ресурсные требования;
- обязанности и полномочия;
- выбор времени выполнения;
- эффективность мероприятий;
- требования отчетности и мониторинга.
Остаточный риск - это риск, который остается после того, как варианты обработки были идентифицированы, а планы обработки - осуществлены. Наряду с этим в данную категорию включают также весь неидентифицированный (нераспознанный) риск. Важно, чтобы все заинтересованные стороны и лица, принимающие решения, знали о характере и степени остаточного риска. Поэтому он должен быть задокументирован, подвергнут мониторингу и анализу.
Мониторинг и обзор
Как следует из Проекта, выполнение регулярного обзора является существенным для того, чтобы гарантировать, что план обработки продолжает оставаться уместным и адекватным. Могут измениться факторы, затрагивающие вероятность и последствия риска, обработанный риск или стоимость обработки.
Каждая стадия процесса менеджмента риска должна быть зафиксирована документально, в том числе выдвинутые предположения, применяемые методы, источники данных, анализы, результаты и причины принятых решений. Записи процессов - важный фактор успешного корпоративного управления.
Решения относительно создания и объема записей должны принять во внимание юридические и деловые потребности в них, стоимость их создания и поддержания в рабочем состоянии, выгоды от многократного использования информации.
Осуществление интегрированного управления риском:
1. Разработка интегрированного плана менеджмента риска по всей организации.
Это позволит эффективно и всеобъемлюще осуществить управление риском по всем подразделениям организации, системам, процессам и методам. В Проекте справедливо отмечается, что во многих организациях существующие методы управления и процессы уже включают элементы менеджмента риска, а некоторые организации уже внедрили процессы менеджмента для специфических категорий риска. Поэтом перед разработкой плана организация должна критически проанализировать и оценить те элементы процесса управления риском, которые уже применяются. Этот обзор должен отразить потребности организации в управлении риском и его контекст.
Результатом должна стать структурированная оценка:
- зрелости, характеристик и эффективности существующего бизнеса, культуры и систем управления риском;
- степени интеграции и последовательности управления риском внутри организации, в том числе различных типов рисков;
- процессов и систем, которые должны быть модифицированы или расширены;
- ограничений, которые могут препятствовать внедрению систематического управления риском;
- законодательных и иных регулирующих требований;
- ограниченности ресурсов.
Цель плана должна состоять в том, чтобы включить управление рисками в важнейшие методы, практику и бизнес-процессы так, чтобы это было уместно, эффективно и надежно. В частности, менеджмент риска должен быть внедрен в разработку политики, стратегическое планирование, управление активами, аудит, экологический менеджмент, противодействие мошенничеству, управление инвестициями и т.д. При этом план может включать определенные разделы для специфических функций, областей, проектов, действий или процессов. Практически этими разделами могут быть отдельные планы, в этом случае они должны быть совместимы с политикой управления риском в целом в организации.