Идентификация риска (risk identification) — что это, способы, методы, особенности

Проектов без рисков не бывает. Увеличение сложности проекта приводит к увеличению числа и масштабов сопутствующих рисков. Когда мы осмысляем управление проектами, в большей степени думаем не об оценке рисков, что является промежуточным действием, а о том, как разработать такой план реагирования, чтобы добиться снижения рискованности. Управление рисками проекта имеет свои специфические особенности, о которых пойдет речь в настоящей статье.

Понятие проектного риска

Под риском в проектной деятельности будем понимать вероятное событие, в результате которого субъект, принявший решение, теряет возможность достичь запланированных результатов проекта или его отдельных параметров, имеющих временную, количественную и стоимостную оценку. Риск характеризуется определенными источниками или причинами и имеет последствия, т.е. оказывает влияние на результаты проекта. Ключевыми словами в определении являются:

• вероятность;
• событие;
• субъект;
• решение;
• потери.

Риски проекта всегда связаны с неопределенностью. И в этой связи нас должны заботить два момента: степень неопределенности и ее причины.

Под неопределенностью предлагается понимать состояние объективных условий, в которых проект принимается к исполнению, не позволяющее предвидеть последствия решений в силу неточности и неполноты доступной информации.

Степень неопределенности имеет существенное значение, потому что мы способны управлять только теми рисками, по которым имеется хоть какая-либо значимая информация.

Для данной ситуации вполне подходит пример риска внезапного изменения налогового законодательства. Для угроз, по которым имеется хотя бы минимальная информация, уже можно разработать план реагирования, и минимизация риска становится возможной.

Далее показана небольшая схема границ управления риском с позиции его определенности.

Схема границ управления рисками с позиции определенности

Следующим моментом для понимания специфики риска проекта является динамичность карты рисков, изменяющейся по мере реализации проектной задачи. Обратите внимание на размещенную ниже схему.

В начале проекта вероятность угроз высока, но возможные потери отличаются низким уровнем. Но к концу выполнения всех работ по проекту величина потерь значительно возрастает, а вероятность угроз снижается.

С учетом данной особенности следуют два вывода.

1. Целесообразно в процессе реализации проекта производить анализ рисков несколько раз. При этом карта рисков трансформируется.
2. Минимизация рисков наиболее оптимально происходит на этапе разработки концепции или в момент разработки проектной документации. Такой вариант обходится значительно дешевле, чем на этапе непосредственной реализации.

Модель динамики вероятности риска и величины потерь

Рассмотрим небольшой пример. Если в самом начале проекта будет выявлена угроза качеству его продукта из-за дорогостоящего материала, не подходящего по техническим условиям, то издержки, связанные с исправлением, окажутся незначительными.

Изменение плана проекта, вызванное заменой материала, повлечет небольшую задержку сроков. Если же возможные негативные последствия выявятся на стадии исполнения заказа, ущерб может оказаться существенным, и достичь снижения потерь не получится.

Элементы концепции управления проектными рисками

Современная методология управления проектными рисками предполагает активный подход в работе с источниками и последствиями выявляемых угроз и опасностей в отличие от недавнего прошлого, когда реагирование носило пассивный характер.

Под управлением рисками следует понимать совокупность взаимосвязанных процессов, основанных на идентификации, анализе рисков, разработке мер по снижению уровня негативных последствий, возникающих при наступлении рисковых событий. PMBOK выделяет шесть процессов управления рисками.

Визуальная схема последовательности этих процессов представлена ниже.

Схема процессов управления проектными рисками по PMBOK

Основными процедурами данного вида управления являются:

• идентификация;
• оценка;
• планирование реагирования;
• мониторинг и контроль.

Идентификация подразумевает определение рисков на основе выявленных факторов их возникновения, документальное оформление их параметров. Качественный и количественный анализ причин возникновения, вероятности негативных последствий формируют оценочную процедуру.

Планирование реагирования на выявленные факторы предполагает разработку мер по снижению неблагоприятного воздействия на результаты и параметры проекта. Проектный вид деятельности отличается динамичностью, уникальностью событий и сопутствующих рисков.

Поэтому их мониторинг и контроль занимают особое место в системе управления и выполняются на всем протяжении жизненного цикла проектной задачи. Управлением рисками обеспечивается следующее.

1. Восприятие участниками проекта неопределенностей и угроз в среде его реализации, их источников и вероятных негативных событий вследствие проявления рисков.
2. Поиск и расширение возможностей для результативного и эффективного решения проектной задачи с учетом выявленной неопределенности.
3. Разработка путей снижения проектных рисков.
4. Доработка проектных планов с учетом выявленных рисков и комплексом мер для их снижения.

Источник: http://projectimo.ru/upravlenie-riskami/riski-proekta.html

Урок 3. Управление рисками в проект-менеджменте

Проектные риски и неопределенность

Термин «риск» в проект-менеджменте означает вероятное событие, мешающее руководителю проекта и его команде достичь целей проекта или отдельных его параметров, обусловленных временными, количественными и стоимостными рамками. Риск связан с конкретными причинами и источниками и всегда имеет свои последствия. Другими словами, риск влияет на результаты проекта.

Риски проекта всегда связаны с неопределенностью. Исходя из этого, необходимо иметь представление о степени неопределенности и ее причинах.

Неопределенность следует понимать как состояние объективных условий, в которых проект начинает реализовываться, но которое не позволяет предвидеть результаты принимаемых решений из-за неполноты и неточности информации.

Степень неопределенности играет большую роль, т.к. проект-менеджер может управлять лишь теми рисками, по которым известно хотя бы что-то существенное.

Когда информации нет, любые риски называются неизвестными. Они требуют создания специального резерва без реализации управленческих процедур. Если же по угрозам есть даже минимальная информация, уже можно разрабатывать план реагирования, направленный на минимизацию риска. Ниже представлена схема управления рисками с позиции неопределенности:

Другой не менее важный нюанс для понимания специфики риска проекта – это динамичность карты рисков, изменяющаяся по мере решения проектных задач. Обратите внимание на модель динамики вероятности риска и объема потерь:

На начальном этапе проекта вероятность угрозы максимальна, однако возможные потери находятся на низком уровне. К окончанию же проектных работ возрастает величина потерь, но снижается вероятность угроз.

Руководствуясь этой особенностью, можно сделать два вывода: во-первых, в процессе осуществления проекта имеет смысл анализировать риски по нескольку раз (карта рисков всегда будет изменяться), а во-вторых, наиболее оптимально риски минимизируются на стадии разработки проекта или в процессе разработки проектной документации (это многократно снижает затраты, нежели на стадии непосредственной реализации проекта).

Концепция управления рисками

Методология управления рисками, имеющаяся на сегодняшний день, подразумевает активную работу с источниками и последствиями определяемых угроз. Вообще, управление рисками является совокупностью процессов, основой которых служит идентификация и анализ рисков и разработка мер по минимизации уровня негативных последствий как результата наступления рисковых событий.

В PMBoK (Своде знаний по управлению проектами (от англ. Project Management Body of Knowledge)) выделяются шесть основных процессов управления рисками. Визуальная схема их последовательности такова:

Т.е., к основным процедурам управления проектными рисками относятся:

• Идентификация рисков
• Анализ риска (качественный и количественный)
• Планирование реагирования на риски
• Контроль над рисками

Идентификация – это определение рисков, основанное на определении продуцирующих их факторов, а также документальное оформление параметров этих рисков. Качественный и количественный анализ причин возникновения и возможности отрицательных последствий необходимы для формирования оценочной процедуры.

Планирование реагирования на найденные риски предполагает создание комплекса мер, направленных на снижение негативного воздействия рисков на параметры и результаты проекта.

Но главенствующее место в этой системе занимают именно мониторинг рисков и контроль над ними – они осуществляются на протяжении всего жизненного цикла проекта.

Благодаря умелому управлению рисками можно достичь:

• Объективного восприятия и понимания участниками проекта неопределенностей и рисков, связанных с его реализацией, их источников и возможных отрицательных событий как результата появления рисков
• Поиска и расширения возможностей для эффективного решения проектных задач с учетом найденных неопределенностей
• Разработки путей минимизации проектных рисков
• Доработки проектных планов с учетом выявленных рисков и комплексов мер по их минимизации

Источник: https://4brain.ru/project/vipolnenie.php

Этапы идентификации и анализа рисков

Идентификация и анализ риска

Это важный этап, который необходим для понимания специфики изучаемой рисковой ситуации.

Под идентификацией и анализом рисков следует понимать выявление рисков, их специфику, обусловленную природой и другими характерными чертами рисков, выделение особенностей их реализации, включая изучение размера экономического ущерба, а также изменение рисков во времени, степень взаимосвязи между ними и изучение факторов, влияющих на них. Без такого исследования невозможно эффективно и целенаправленно осуществлять процесс управления риском.

Этот этап процесса менеджмента рисков идентифицирует риски, которые будут влиять на достижение целей и задач организации или конкретной деятельности.

Всесторонняя идентификация с применением хорошо структурированного систематического процесса имеет большое значение, поскольку риск, не идентифицированный в рамках этого элемента процесса, может быть исключен из дальнейшего анализа.

Идентификация должна включать риски независимо от того, управляет ими организация или нет.

• Для идентификации и анализа рисков менеджер должен ответить на ряд вопросов:
• — В чем источники неопределенности и риска?
• — С какими ситуациями и с какими негативными последствиями предстоит столкнуться вследствие реализации риска?
• — Из каких источников следует получить информацию?
• — Каким образом можно численно оценить риск?
• — Как различные риски влияют друг на друга?

Идентификация рисков включает идентификацию источника риска, события и потенциальные последствия. Оценка идентифицированных источников опасности проводится далее в рамках процесса анализа рисков. Если возможно, идентификация рисков может также предусматривать или не предусматривать возможность потенциального управления риском.

Специфика данного этапа связана с его значением как информационной основы для системы управления риском.

На этом этапе может быть получена качественная информация о возможности реализации риска и его последствиях, а также даны количественные оценки самого риска, его параметров, величины экономического ущерба и других показателей, необходимых для принятия решения об управлении риском. Фактически на данном этапе обеспечивается информационная основа для всей процедуры риск-менеджмента.

Общая характеристика идентификации и анализа рисков

Идентификация и анализ рисков являются ключевым элементом процесса управления риском.

Поэтому исследование особенностей данной области риск-менеджмента и их учет в практической деятельности менеджера по рискам являются важным этапом для понимания всей системы управления риском.

Содержание идентификации и анализа рисков

Основной целью идентификации и анализа рисков является формирование у лиц, принимающих решения, целостной картины рисков, угрожающих бизнесу фирмы, жизни и здоровью ее сотрудников, имущественным интересам владельцев/акционеров, обязательствам, возникающим в процессе взаимоотношений с клиентами и другими контрагентами, правам третьих лиц и т.п. В данном случае важен не только перечень рисков, но и понимание менеджерами того, как эти риски могут повлиять на деятельность фирмы и насколько серьезными могут быть последствия. В результате такого исследования будет правильно организована система управления рисками, которая обеспечит приемлемый уровень защиты фирмы от этих рисков.

Идентификация и анализ рисков предполагает проведение качественного, а затем и количественного изучения рисков, с которыми сталкивается фирма.

Качественный анализ предполагает обнаружение рисков, исследование их особенностей, выявление последствий реализации соответствующих рисков в форме экономического ущерба, раскрытие источников информации относительно каждого риска. На данной стадии проводится подробная классификация выявленных рисков. В результате этого у менеджера по рискам возникает понимание круга проблем, с которыми придется столкнуться в процессе риск-менеджмента.

Предварительным шагом стадии количественной оценки рисков является получение информации о них. Такая информация должна содержать следующие данные, необходимые для оценки степени предсказуемости риска: частота (вероятность) возникновения и размер убытков, т.е.

распределение ущерба, а также другие характеристики, которые требуются для дальнейшего анализа рисков. Правильность всех последующих решений будет зависеть от того, удастся ли собрать необходимые качественные данные в нужном объеме.

Поэтому определение степени доверия к разным источникам информации представляет собой важный аспект этого шага.

Основной шаг стадии количественной оценки рисков — обработка собранных данных. Она должна обслуживать цели последующего процесса принятия решений по управлению риском.

Для выявления факторов риска и степени их воздействия могут быть использованы различные методы статистической обработки данных, в том числе корреляционный и дисперсионный анализ, анализ временных рядов, факторный анализ и другие методы многомерной классификации, а также математическое моделирование, включая имитационное.

Процесс идентификации

Для разработки всестороннего перечня рисков необходимо применять систематический процесс, начинающийся с определения сложившейся ситуации.

Для подтверждения эффективной идентификации рисков представляется целесообразным рассматривать процесс, проект или деятельность структурировано, используя для этого ключевые элементы, определенные при установлении ситуации.

Это позволяет убедиться в том, что основные источники риска (или события) не были упущены или случайно исключены из последующего рассмотрения.

При идентификации источников риска представляется важным наличие соответствующей и актуализированной информации. На начальном этапе можно обсудить предысторию этой или аналогичных организаций или их деятельности, а затем перейти к обсуждению исторических, текущих и возникающих вопросов с участием самых различных заинтересованных сторон.

Необходимо, чтобы специалисты, участвующие в процессе идентификации рисков, знали хорошо основные аспекты, связанные с источниками и причинами рисков.

Идентифицировав, какое событие, связанное с риском, может произойти, представляется необходимым рассмотреть возможные причины и сценарии, демонстрирующие, каким образом источник риска и событие могут привести к нежелательным последствиям. Событие может развиваться по самым различным сценариям. Представляется важным не пропустить наиболее существенные причины и следствия.

1. Этапы идентификации и анализа рисков
2. Анализ риска (ГОСТ Р 51898–2002) представляет собой структурированный процесс, целью которого является определение как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы. Посредством проведения анализа риска предпринимаются попытки ответить на три основных вопроса:
3. Что может выйти из строя или произойти (идентификация опасности)?
4. С какой вероятностью это может произойти (анализ частоты)?
5. Каковы последствия этого события (анализ последствий)?

Риск присутствует в любой человеческой деятельности. Он может относиться к здоровью и безопасности (учитывая, например, как немедленные, так и долгосрочные последствия для здоровья от воздействия токсичных химических продуктов).

Риск может быть экономическим, например, приводящим к уничтожению оборудования и продукции вследствие пожаров, взрывов или других аварий. Он может учитывать неблагоприятные воздействия на окружающую среду.

Задачей управления рисками является контроль, предотвращение гибели людей, снижение заболеваемости, снижение ущерба, урона имуществу и других производственных потерь, а также воздействия на окружающую среду.

• Для повышения эффективности менеджмента рисков необходимо проводить предварительный анализ риска, включающий следующие элементы:
• а) идентификация риска и определение подходов к решению связанных с ним проблем;
• б) использование объективной информации при принятии решений;
• в) удовлетворение регламентированных требований к риску.

Можно предложить множество критериев для выделения этапов процесса идентификации и анализа рисков. Наиболее распространенным является степень подробности исследования риска. В соответствии с ней можно выделить следующие этапы:

1) осмысление риска, т.е. качественный анализ, сопровождаемый исследованием структурных характеристик риска (опасность — подверженность риску — уязвимость). Это очень важный этап, так как он определяет, с чем столкнется в дальнейшем менеджер по рискам, и тем самым задает границы принятия решений в процессе риск-менеджмента;

2) анализ конкретных причин возникновения неблагоприятных событий и их отрицательных последствий. Данный этап представляет собой подробное изучение отдельных рисков (причинно-следственные связи между факторами риска, возникновением неблагоприятных событий и вызванным ими появлением ущерба). Такое исследование обеспечивает основу для принятия решений в рамках управления риском;

3) комплексный анализ рисков. Указанный этап предполагает изучение всей совокупности рисков в целом, что дает цельную, комплексную картину рисков, с которыми сталкивается фирма. Это позволяет проводить единую политику по управлению риском.

Подобное исследование включает также проведение таких процедур, как аудит безопасности, т.е. всестороннее исследование бизнеса фирмы, методов принятия решений и используемых технологий с целью выявления и анализа рисков, которым они подвержены.

В ряде случаев не все перечисленные этапы реализуются в практике риск-менеджмента конкретных фирм, но наиболее полный и комплексный вариант включает все три этапа. Как правило, это характерно для крупных фирм, занимающихся сложным бизнесом.

1. Результаты анализа риска могут использоваться специалистом, принимающим решение, при оценке допустимости риска, а также при выборе между потенциальными мерами по снижению или устранению риска. С точки зрения специалиста, принимающего решение, к основным достоинствам анализа риска относятся следующие:
2. а) систематическая идентификация потенциальных опасностей;
3. б) систематическая идентификация возможных видов отказов;
4. в) количественные оценки или ранжирование рисков;
5. г) оценка надежности возможных модификаций системы для снижения риска и достижения предпочтительных уровней ее надежности;
6. д) выявление факторов, обусловливающих риск, и слабых звеньев в системе;
7. е) более глубокое понимание устройства и функционирования системы;
8. ж) сопоставление риска исследуемой системы с рисками альтернативных систем или технологий;
9. з)идентификация и сопоставление рисков и неопределенностей;
10. и)помощь в установлении приоритетов при совершенствовании санитарных требований и норм;
11. к)формирование базы для рациональной организации профилактического обслуживания, ремонта и контроля;
12. л)обеспечение возможности поставарийного расследования и мер по предупреждению аварий;
13. м)возможность выбора мер и приемов по обеспечению снижения риска.

Все эти факторы играют важную роль в эффективном управлении рисками независимо от того, какие задачи рассматриваются (охрана здоровья, безопасность, предотвращение экономических потерь, обеспечение выполнения требований постановлений правительства и т.п.).

• Анализ может охватывать такие области специальных знаний, как:
• а) системный анализ;
• б) вероятность и статистика;
• в) химическая технология, машиностроение, электротехника, строительная техника или ядерная техника;
• г) физические, химические или биологические науки;
• д) медицинские науки, в том числе токсикология и эпидемиология;
• е) общественные науки, в том числе экономика, психология и социология;
• ж) влияние человеческого фактора, эргономика и наука управления. Распределение рисков по категориям
• Анализ риска является частью оценки риска и процесса менеджмента рисков, проиллюстрированного на рис, и состоит из определения области применения, идентификации опасности и оценки величины риска.

Рекомендуемые страницы:

Воспользуйтесь поиском по сайту:

Источник: https://megalektsii.ru/s39536t1.html

Идентификация опасностей и оценка рисков: разработка и внедрение процедур

 

 

 

 

Что необходимо учитывать при идентификации опасностей на рабочих местах и оценке рисков?

Идентификация опасностей на рабочих местах осуществляется с целью выявления и четкого описания всех опасностей по всем видам деятельности организации, включая плановую и внеплановую деятельность, для дальнейшей оценки и управления рисками и должна учитывать:

• ситуации, события, комбинации обстоятельств, которые приводили либо потенциально могут приводить к травме или профессиональному заболеванию работника;
• причины возникновения потенциальной травмы или заболевания, связанные с выполняемой работой, продукцией или услугой;
• сведения об имевших место травмах, профессиональных заболеваниях.

• Необходимо оценивать, как нормальные условия труда, так и случаи отклонений в работе, связанные с происшествиями, возможными аварийными ситуациями.
• При идентификации опасностей в зависимости от осуществляемого вида деятельности следует определить перечень работ, входящих в осуществляемый вид деятельности, а также рассматривать не только опасности и риски от деятельности, выполняемой своим персоналом, но и опасности и риски, возникающие от деятельности подрядчиков и посетителей, от использования продукции и услуг, предоставленных другими организациями.
• Данная процедура включает рассмотрение:

• организации работ, включая безопасность их выполнения;
• проектирования безопасных рабочих мест, технологических процессов, оборудования;
• монтажа, эксплуатации, технического обслуживания, ремонта оборудования (зданий и помещений);
• характеристик приобретаемых организацией товаров и услуг.

Степень сложности этих процедур зависит от специфики деятельности организации, ее размеров, характера и масштаба рисков организации.  

 

Методика оценки рисков

Риск — это сочетание вероятности возникновения опасного события или воздействия(й) и тяжести травмы или профессионального заболевания, причиной которого может быть это событие или воздействие(я).

На сегодняшний день существуют различные методики оценки рисков. Сложность этих методик зависит от характера и масштабов рисков организации.

Для оценки профессиональных рисков в ходе разработки и внедрения систем управления охраной труда наши специалисты, как правило, берут за основу метод оценки рисков по вероятности возникновения опасности и серьезности последствий воздействия, описанный в методических рекомендациях «Системы управления охраной труда. Порядок проведения работ по оценке рисков в области охраны труда», утвержденных Госстандартом РБ 19.06.2006 (далее — Методические рекомендации]. Его нормы распространяются на организации всех форм собственности и предназначены для руководства при разработке систем управления охраной труда организаций.

1. Согласно него, оценка рисков определяется по формуле:
2. R = PxS, где
3. R — риск;
4. Р — вероятность возникновения опасности;
5. S— серьезность последствий воздействия опасности.
6. Для определения вероятности возникновения опасности и серьезности последствий воздействия используют коэффициенты от 1 до 5.
7. Как правило, оценку профессиональных рисков по данной методике в организациях может проводитть сам наниматель (либо уполномоченные им должностные лица и рабочие).
8. Вы можете выполнить процедуру по идентификации опасностей и оценке рисков самостоятельно, однако, необходимо понимать, что правильность, полнота и качество проделанной работы во многом зависят от квалификации и опыта исполнителей, которые, основываясь только на своих знаниях, ощущениях, решают, к какой категории отнести вероятность возникновения опасности и серьезность последствий воздействия.
9. То есть при проведении идентификации опасностей и оценки рисков с использованием данного метода присутствует субъективное восприятие опасностей на различных рабочих местах, что является недостатком данной методики.
10. Наши специалисты применяют вышеуказанную методику оценки рисков ввиду ее легкости в восприятии и простоты в использовании.

Результаты оценки рисков

Результаты оценки рисков оформляются в виде карт рисков произвольной формы с обязательным отражением в них:

• вида деятельности;
• идентифицированной опасности;
• дополнительных лиц, подвергающихся риску (подрядчик, посетитель, персонал);
• имеющейся системы контроля и реагирования;
• рекомендуемых действий;
• срока выполнения.

• В Методических рекомендациях описана классификация рисков по уровню значимости.
• Исходя из указанных в предыдущем вопросе значений Р (вероятность возникновения опасности) и S (серьезность последствий воздействия опасности) определяется уровень значимости рисков по матрице классификации рисков, где R (риск) имеет значение от 1 до 25.
• Риски по уровню значимости классифицируются на:

• низкие;
• умеренные;
• существенные.

К низким рискам (R < 6) относят потенциальные риски при ежедневной работе на рабочем месте. Риски с таким уровнем рассматривают как приемлемые при наличии мер по управлению ими.

К умеренным рискам (R = 6-12) относят риски, при которых присутствует потенциальная угроза здоровью персонала и (или) нанесения ущерба имуществу предприятия. Риски с таким уровнем рассматривают как приемлемые при наличии достаточных мер по управлению ими. Они требуют постоянного контроля и анализа.

К существенным рискам (R > 12) относят риски, при которых присутствует потенциальная угроза жизни и здоровью персонала и (или) нанесения значительного ущерба имуществу предприятия. Риски с таким уровнем рассматривают как неприемлемые. Они требуют дальнейшего обязательного управления ими.

Данные мероприятия могут быть связаны:

— с производственным оборудованием (модернизация оборудования, механизмов и устройств, транспортных средств, приспособлений и других объектов производственного назначения и т.п.);

— осведомленностью и обучением персонала (обучение, повышение квалификации, переподготовка и т.п.);

— процедурами по обеспечению безопасной эксплуатации оборудования, ликвидации аварийных ситуаций, предотвращения несчастных случаев и др.

После выполнения разработанных мероприятий проводятся повторная оценка рисков с учетом предпринятых действий и анализ эффективности мероприятий по управлению рисками. 

 Документы, составляемые по результатам идентификации опасностей и оценке рисков

В процессе идентификации рисков нашими специалистами составляются:

• перечень рабочих мест, на которых идентифицируются опасности, оцениваются риски и определяются меры управления.
• перечень видов работ, которые выполняются (могут выполняться) подрядчиками на территории организации.
• карты идентификации опасностей, оценки рисков и определения мер управления.
• реестр неприемлемых рисков организации.

В случае установления неприемлемых рисков, мы предоставим Вам проект Программы для достижения Целей в области охраны труда.

Источник: http://suot.by/identifikaciya-opasnostej-i-ocenka-riskov-razrabotka-i-vnedrenie-procedur.html

Методы идентификации рисков

Этот раздел является теоретическим чуть менее, чем полностью. Весь его читать не нужно, если, конечно, Вы не в первый раз про риск-менеджмент читаете. Можно перейти в конец страницы к ключевым методам.

Стандарт FERMA разделяет технологии анализа и методы идентификации рисков. На этой страничке они не разделены, потому что мне так кажется более удобным.

Отмечу, что FERMA рекомендует рассматривать не только негативные риски, но и позитивные. Фактически я не встречал детального анализа позитивных возможностей.

Действительно, над увеличением объема продаж думает каждый бизнес, над сокращением себестоимости – почти каждый, но вот строить дерево позитивных событий «вообще» сложно. Поэтому мой совет – если есть что-то явное, в карту рисков должно попасть.

Но детализировать абсолютно всё из позитива я бы не рекомендовал: можно заиграться и начать ловить что-то совсем фантастическое. Включение в перечень рисков достаточно простое: использование оборотов типа «Недополучение маржи из-за…» и пр.

Удобства ради я разделил (сам придумал, если что) методы идентификации на методы, основанные на анализе бизнеса; методы, основанные на анализе производства; и «организационные». В такой классификации я их и рассмотрю. Понятное дело, что большая часть описаний была взята из словарей. Также отмечу, что полный комплект рекомендуемых FERMA методов не рассматривается.

Методы, основанные на анализе бизнеса

Это традиционные методы, большинство из которых встречается не только в риск-менеджменте. Каждый из методов определяет некоторые наборы подходов к поиску проблем либо же возможностей, которые, в свою очередь, могут привести к неким событиям.

Представленные методы можно использовать, в первую очередь, для идентификации стратегических рисков, отсюда еще раз следует, что явное или неявное понимание стратегии необходимо.

Однако рассмотрение каждого бизнес-процесса приводит, как правило, к выявлению операционных рисков, а планирование непрерывности бизнеса – к выявлению рисков опасностей.

SWOT анализ (Сильные, слабые стороны, возможности, опасности)

Настолько традиционный метод, что описывать его не буду. Отмечу, что грамотно выявленные опасности и есть негативные риски, а возможности – позитивные.

Метод хорош при значительном углублении по сравнению с «типовым» SWOT-анализом, который в подавляющем случае делается «для отмазки», пять-десять опасностей – это мало.

В общем, «расширив и углубив», то есть сделав по-человечески, можно идентифицировать многое.

BPEST (Бизнес, политический, экономический, социальный, технологический) – анализ и PESTLE (Политический, экономический, социальный, технологический, юридический, экологический) – анализ

Тоже традиционные методы. Анализируются риски и возможности, связанные с каждым из аспектов, приведенных в названии. По итогам анализа возникает перечень угроз, которые могут помешать достижению целей.

Последний можно расширить до STEEPLED (PESTLE + образовательные и демографические). В России последние два дополнения тоже очень актуальны: бизнес должен быть обеспечен квалифицированным персоналом, с чем есть проблемы.

Ради интереса можете поиграться с демографическими данными, коих предостаточно на сайте Росстата. Графики получаются преинтереснейшие.

Анализ сценариев

При разработке стратегии развития компании, естественно, рассматривают различные сценарии развития. Выбрать приемлемый с точки зрения риска вариант позволяет метод анализа сценариев.

В нем последовательно рассматриваются все возможные комбинации и анализируются потенциальные риски, которые сопоставляются с ожидаемой доходностью.

При выявлении негативных рисков бизнеса используется для определения событий, реализация которых в совокупности приводит к невозможности достижения стратегических целей.

Планирование непрерывности бизнеса

Метод основан на выявлении возможных проблем, которые могут привести к кризису, связанному с невозможностью осуществлять деятельность на тех же условиях, что и раньше. Существуют стандарты по планированию непрерывности бизнеса, к примеру, британский BS25999.

В нем представлены типовые угрозы: эпидемии, пожары, наводнения, землетрясения, перебои в энергоснабжении, хакерские атаки, терроризм и т.д. Перечень угроз не исчерпывающ, поэтому риск-менеджер должен проанализировать, что именно грозит бизнесу.

В России традиционно это административное давление, PR-атаки, для небольших бизнесов – уход ключевых сотрудников. Перечень можно продолжать.

Рассмотрение каждого бизнес-процесса

Самый эффективный способ для выявления операционных рисков. Основан на том, что все процессы подвергаются подробнейшему изучению на предмет «как бы чего не вышло» и «что может пойти не так». Типовым рискам посвящен соответствующий раздел.

Методы, основанные на анализе производства

Представленные методы позволяют проанализировать любую сложную систему и позволяют выявлять риски опасностей.

HAZOP (Исследование Опасностей и Функционирования)

Название метода произошло от английских слов hazard и operability. Исследование HAZOP — это процесс детализации и идентификации проблем опасности и работоспособности системы, при этом под системой подразумевается промышленный объект. Основная задача – найти потенциально опасные процедуры, которые могут привести к нарушению функционирования системы, например, взрыву.

Анализ видов и последствий отказов (от failure mode and effects analysis – FMEA)

Метод подразумевает рассмотрение всех возможных отказов и оценку последствий их реализации. Для его использования все возможные отказы классифицируются по величине последствий, и дальше подробно рассматриваются все, начиная с самых критичных.

Анализ дерева неисправности (от fault tree analysis – FTA)

Метод основан на анализе комбинаций событий нижнего уровня, которые могут привести к нежелательному состоянию. Рассмотрение идет сверху вниз для каждого из событий, то есть для определенного события, например, взрыва, рассматриваются все возможные варианты, приводящие к нему.

«Организационные» методы анализа рисков

Рабочие группы по оценке рисков

Самый важный метод для успешного завершения старта риск-менеджмента быстро. Обратите внимание, что таких групп должно быть несколько. Численность каждой вряд ли должна превышать 6-8 человек. В противном случае любое совещание превращается балаган. Мне нравится вовлекать в такие группы «лучших замов».

Дело в том, что, к примеру, собрать в одном месте всех главных специалистов бывает затруднительно (хотя бывают и исключения: к примеру, еженедельные совещания), во-вторых, люди занятые и т.д. «Лучший зам», скорее всего, помоложе, интерес к жизни потерян не совсем.

Поэтому, если представляет, что творится в его подразделении – это будет союзник в постановке риск-менеджмента.

Анкетирование

Самый простой способ. Результаты тоже близки к самым простым – если удается выявить 3-4 риска к тому, что и так очевидно, анкетирование прошло не зря. Анкетирование может быть как анонимным, так и индивидуальным. В последнем случае заполнение анкеты – повод поговорить с человеком.

Форма анкеты может быть разной – от самой простой (название риска и его описание) до более сложной (например, оценка вероятности и ущерба, возможность управления риском и т.д.).

Мне нравится последний, потому что можно сделать определенные выводы о текущем понимании риск-менеджмента участниками процесса и объяснить не полностью понятое еще раз.

Мозговой штурм

Традиционный консультантский прием. Может быть очень эффективен в случае сильной рабочей группы, будет мало эффективен, когда участникам «глубоко пофигу» либо же просто не очень понимают, «зачем козе баян».

Применение возможно в случае сильного модератора. Если чувствуете, что «зажечь» десять человек, которым управление рисками интересно примерно так же, как проблемы негров в Америке, вам не по силам – лучше не пытаться и устроить обычное совещание.

За исключением случаев, когда нужно делать очень быстро.

Расследование причин события

Метод, основанный на анализе прошлого. Безусловно полезный метод для исключения повторного взаимодействия с садовым инвентарем.

Аудит и инспекция

Как я понимаю, речь при формулировке стандартов шла о внешнем аудите и внешней инспекции. Отмечу, что при наличии сильного внутреннего аудита и службы производственной безопасности и охраны труда, риски можно идентифицировать на основании интервью с руководителем внутреннего аудита. Почему нужен именно сильный внутренний аудит (как минимум, операционно-ориентированный) – см. здесь.

Ключевые методы

Понятное дело, что можно использовать все методы. Особенно полезно упражнение для начинающих специалистов.

Я лично использую STEEPLED-анализ с добавлением анализа рынков, анализ бизнес-процессов, мозговой штурм (в исключительных ситуациях – сам с собой, что напоминает понятно что) и некое представление о непрекрасном, сложившееся в голове за время профессиональной деятельности. По факту, как мне кажется, этого вполне достаточно для выявления 90-95% рисков, что является неплохим результатом.

Отдельно скажу о методах, основанных на анализе производства. Они, безусловно, полезны, особенно для страховщиков, которые по итогам анализа производственных процессов формируют итоговую ставку и условия страхования.

Но сама идеология, которую за тем же Ростехнадзором повторяет менеджмент (особенно в части «правила безопасности написаны кровью»), как мне кажется, не очень эффективна. Наиболее резонансные вещи, которые Вы видите – это авиация. Можете посмотреть небо над США, Европой и Россией на http://flightradar24.com. Посмотрите, сколько перевозят перевозчики американские, европейские и российские. Сравните потери воздушных судов за длительный промежуток времени. Думаю, этих аргументов достаточно для выбора буржуйских, а не российских концепций управления производственной безопасностью. Идеология – определять ключевые риски и управлять ими, а не писать многотомные противоречащие друг другу труды, которые ставят любого исполнителя в затруднительное положение. В общем, если заинтересовались безопасностью в конкретной отрасли – интернет в помощь.

Дополнительная информация

Что касается COSO ERM. Там всё начинается не с рисков, а с целей. Комментировать не буду, вопрос — на любителя. Такой подход:

• может помочь, если анализировать стратегические цели. Беда в том, что сама стратегия редко формализована и еще реже предприятие функционирует в соответствии с этой стратегией, так как с момента появления тома с названием «Стратегия» все поменялось раза три. Тем не менее, можно подход использовать, но выбрать хотя бы десяток рисков, когда капитализация может снизиться, мягко говоря, затруднительно (обычно получается значительно больше);
• по моему мнению, абсолютно не нужен для рисков, не являющихся стратегическими. Безусловно, можно поставить цели под названием «сохранность активов» или «безаварийная работа» и к этим целям невероятными мозговыми усилиями придумать риски «хищение активов» и «авария». Но интуиция мне подсказывает, что риски очевидны, а цели будут именно в качестве надстройки над рисками.

Наиболее полезной из COSO ERM мне кажется фраза, что можно анализировать риски «сверху вниз», а можно «снизу вверх».

Источник: http://svk4u.ru/?page_id=377

Контактная информация

Статистические методы представляют собой основу оценки риска. Данные о параметрах риска необходимы для управления им. То есть статистические методы, применяемые для оценки рисков, предоставляют информацию для управления рисками.

Статистические методы – это научные методы описания и изучения результатов наблюдений массовых случайных явлений. Риски в большинстве своем представляют собой массовые случайные явления, поэтому подлежат оценке с помощью статистических методов.

Основные понятия оценки рисков

• Оценка рисков – это одна из составляющих процесса риск-менеджмента.
• Оценка риска (risk assessment) – общий процесс идентификации, анализа и определения величины (evaluation) риска.
• Идентификация риска – процесс обнаружения, распознавания и описания риска.
• Анализ риска – процесс познания природы и определения уровня риска.
• Критерии риска – правила, по которым определяются значимость (significance) оцениваемого риска.
• Определение величины риска – процесс сравнения результатов анализа риска с критериями риска, для определения, является ли риск и/или его величина допустимой.
• Оценка рисков проводится в условиях качественной определенности, которая связана с «установлением контекста» (establishing the context).

Установление контекста позволяет определить и согласовать основные параметры управления рисками, включая цели и критерии.

Оно включает определение внутренних и внешних параметров, имеющих отношение как к организации в целом, так и к конкретному подлежащему оценке риску.

 Оно включает:

1. Установление внешнего контекста – окружающей среды, в которой функционирует организация (культурной, политической, законодательной, финансово-экономической, конкурентной на местном, региональном, национальном или международном уровне).
2. Установление внутреннего контекста (возможностей организации в терминах знаний и ресурсов; информационных потоков и процесса принятия решений; участников процесса принятия решений; целей и стратегий; представлений, ценностей и культуры; политик и процессов; стандартов и нормативных моделей, адаптированных к организации; организационной структуры).
3. Установление контекста риск-менеджмента (определение подотчетности и ответственности; масштабов риск-менеджмента в целом и в терминах времени и места; определение взаимосвязей; методологии оценки риска; критериев риска, критериев оценки качества управления рисками, идентификация и спецификация решений и действий и определение, какие исследования необходимо провести и какие ресурсы для этого потребуются).
4. Определение критериев включает: природу и типы последствий и способы их измерения; способ, которым будут представлены вероятности; как будет определяться уровень риска; критерий, согласно которому будет определяться, нуждается ли риск в управлении; критерий для определения, является ли риск принимаемым и/или допустимым; будут ли приниматься во внимание комбинации рисков и каким образом это будет делаться.

Критерии могут основываться на следующих источниках: согласованные цели процессов; установленные критерии; общедоступные источники данных; общепринятые критерии отрасли; риск-аппетит организации; законодательные и иные требования.

Процесс оценки рисков

1. Процесс оценки рисков в международных стандартах рассматривается, как состоящий из:
2. 1)     идентификации;
3. 2)     анализа;
4. 3)     определения степени рисков (стандарт ISO 31000), и
5. a)     анализа (включающего идентификацию, описание и измерение) и
6. b)     качественной/количественной оценки рисков (стандарт FERMA). 

Идентификация риска

(материал подготовлен с использованием текста [1])

Угроза, согласно словарю С.И. Ожегова [2], это возможная опасность.

Опасность — «возможность, угроза чего-нибудь очень плохого, какого-нибудь несчастья».

Уязвимость — наличие слабости, малой защищенности.

То есть угроза и опасность – это уже возникшая возможность того, что случится нечто плохое. В отличие от риска, подразумевающего ситуативную характеристику возможности получения как отрицательного, так и положительного результата. Уязвимость же можно понимать, как наличие недостатков, слабостей, которые дают возможность реализоваться рискам, повышают их вероятность.

• Таким образом, уязвимости можно считать внутренними источниками риска.
• Согласно Международному стандарту ISO «Риск-менеджмент – Принципы и руководства», источник риска – элемент, который сам по себе или в комбинации с другими имеет внутренний потенциал для возникновения риска.
• Идентификация риска невозможна без идентификации источников риска, следовательно, определения, в том числе, угроз, опасностей и уязвимостей.
• Организация должна определить источник риска, области его влияния, рисковые случаи (включая изменение обстоятельств), их причины, а также их потенциальные последствия.

Цель данного шага – составить исчерпывающий список рисков, основанный на тех рисковых случаях, которые могут предотвратить, ухудшить, сократить степень достижения целей.

То есть тех событий, которые в состоянии негативно повлиять на процесс и результат достижения целей. Также важно идентифицировать риски, связанные с упущенными возможностями.

Риск, который не был идентифицирован на этой стадии, не будет включен в дальнейший анализ.

1. Идентификация должна охватывать все риски (вне зависимости от того, находится ли их источник под контролем организации), даже если источник риска или его причина не очевидны.
2. Организация должна применять инструменты и техники идентификации рисков, которые соответствуют ее целям и возможностям, а также рискам, с которыми она столкнулась.
3. Данные, полученные на этапах идентификации, анализа и определения степени риска, нуждаются в обработке и соответствующем представлении.
4. Библиография

1. Международный стандарт ISO 31000 «Риск-менеджмент – Принципы и руководства» Первое издание 2009-11-15
2. Ожегов, С.И.; Шведова, Н.Ю. Толковый словарь русского языка Издательство: М.: ИТИ Технологии; Издание 4-е, доп.; 2008 г., – 944 с.
3. Стандарт управления рисками (Risk Management Standard) FERMA (Federation of European Risk Management Association). 2002 http://www.ferma.eu/wp-content/uploads/2011/11/a-risk-management-standard-russian-version.pdf

22.10.2014

Источник: http://best-stat.ru/risk-menedzhment/identifikatsiya-i-otsenka-riskov-1-osnovnye-ponyatiya-identifikatsii-i-otsenki-riskov.html