Системный подход к процессу управления рисками

7.4. Концепция приемлемого риска

В прошлом абзаце мы обозначили, что в деятельности предприятия возможны случаи, когда риск может быть принят для определенных случаев, когда это обосновано ситуацией и оценено как необходимость. Подобные риски принято обозначать как приемлемые риски.

Каждый риск, при определенных параметрах его рассмотрения, является приемлемым для одних случаев и не приемлемым для других. Анализ и управление рисками, как домен, должен учитывать концепцию принятия приемлемого риска, с условием контролируемого воздействия на его начальный уровень, при условии доведения этого уровня до приемлемого, для конкретных условий, значения.

Концепция приемлемого риска была разработана и основана под вилянием парадокса, который лежит в большинстве современных бизнес активностей. Парадокс заключается в том, что с одной стороны любой основополагающий для современного предприятия процесс должен быть подкреплен информационной, документарной и правовой базой, но с другой стороны, без принятия возможности потенциального ущерба в современном "динамическиразвиваемом" технологическом мире, начать развитие любых процессов представляется маловероятным. Поэтому, для процессов риск-менеджмента используются указания типа: избегать риск, сводить его результаты к минимуму и т.д.

Для решения этого противоречия и была выработана концепция приемлемого риска, целью которой является выработка оптимального компромисса между упомянутыми, диаметрально противоположными условиями возникновения рисков.

Основа концепции заключается в том, что всегда существует опасность того, что в случае реализации определенного управляющего решения возникнет определенный риск или группа рисков. Масштаб и количество рисков, в начале их жизненного цикла в бизнес процессах, могут проявиться не в полном объеме и не с "максимальной" силой. Величина ущерба может варьироваться в зависимости от стадии, на которой проявился тот или иной риск, внешних условий процесса и многих других причин.

Концепция приемлемого риска построена на методологии дифференциации риска (его величины) в зависимости от стадий его проявления. Выделить можно следующие уровни:

• Начальный уровень риска;
• Степень риска, при которой не учитываются результаты мероприятий по анализу, идентификации и оценке конкретного риска/вида рисков. Это уровень является неидентифицированным, неоцененным и, следовательно, и может быть использован только в качестве концептуальной, верхнеуровневой оценки;
• Оцененный уровень риска;
• Оцененный уровень риска – это уровень риска с учетом мероприятий по идентификации, оценке и анализа (разных видов) риска. Величина оцененного уровня риска представляет собой реальную, в условиях существующих процессов компании по работе с рисками, оценку уровня риска, который является риском более низкого уровня, нежели начальный уровень риска;
• Остаточный уровень риска;
• Остаточный уровень риска – уровень риска с учетом разработанных и выполненных мероприятий по снижению начального уровня риска;
• Конечный (приемлемый) уровень риска
• Конечный (приемлемый) уровень риска – уровень риска, который является приемлемым, для конкретных условий определенной ситуации, с точки зрения критериев риска. Конечный уровень риска может быть равным любому из приведенных выше уровню рисков. В данном случае определяющим условием является разработанная система критериев риска.

Таким образом, можно/нужно констатировать, что приведенная концепция приемлемого риска состоит в том, что риск не обязательно полностью или частично устранять. С учетом информации, необходимой для принятия управленческого решения по риску, возможным результатом процесса принятия решения по работе с риском могут/должны быть:

• Снижение риска до приемлемого уровня;
• Игнорирование риска;
• Принятие риска;
• Уклонение от риска;
• И д.р.

На текущем "витке" развития процессов анализа рисков в области информационных технологий, концепция приемлемого риска находится в основе большинства существующих систем (как организационных, так и программных) по анализу и управлению рисками.

Эффективность обозначенных систем определяется тем, насколько оптимально и правильно, для конкретного окружения и рамок процессов анализа и управления рисками, определен уровень приемлемости риска. Если этот показатель имеет точную количественную характеристику, то можно считать, что система риск-менеджмента имеет в своей основе достаточно фундаментальный числовой базис, который необходимо качественно и своевременно актуализировать и обоснованно развивать в соответствии с целями компании и имеющимися на это ресурсами.

7.5. Обзор методов управления рисками

Чуть выше, говоря о концепции приемлемого риска, мы подняли тему методов по работе над рисками. На сегодня нет сложившихся универсальных систем, использование которых можно было бы рекомендовать в любой "рисковой" ситуации, для любого окружения проблемного процесса. Возможно, подобная ситуация связана с многообразием внешних и внутренних факторов риска, действие которых проявляется не только локально, на определенном процессе, а "глобально", на деятельности организации в целом.

Эта задача решается при помощи использования различных методов управления рисками, объединенных в систему по работе с рисками. Каждый из методов продуктивно решает только специализированные проблемы, определенных направлений в области информационных технологий.

Условно, методы по управления рисками можно разделить на 4 категории:

• Методы уклонения от рисков;
• В основе методов этой группы лежит постулат о полном исключении рисковых ситуаций из критичных процессов/проектов. К практическим шагам, используемых в техниках этой группы относятся такие решения, как отказ от проектов и процессов, в которых задействованы ненадежные партнеры, клиенты, технологии и т.д. В техниках уклонения от рисков используются действия, в результате которых ответственность за возможный ущерб переносится на третье лицо. Типичным примером методики из этой группы является страхование ответственности.
• Группа техник уклонения от рисков следует причислить к методам, которые направлены на минимизацию последствий возникающего ущерба от проявления рисков, что делает эти методики уникальными, с позиции их отношения к факту воздействия на уже возникший ущерб и работу над его следствиями. Дальнейшие группы методик, рассматриваемые нами, будут направлены на причины возникновения рисков.
• Методы локализации рисков;
• К данной группе принято относить методы, которые базируются на идентификации критичных "мест" в процессах и активностях, где наблюдается наиболее вероятное проявление риска. В дальнейшем такие "точки" процессов выделяются в самостоятельную деятельность, которая в дальнейшем нуждается в высокой степени контроля и управления. Методы локализации применяются тогда, когда на основе количественных методов анализа рисков удается конкретно выявить все возможные источники рисков.
• Методы диверсификации рисков;
• В основе методов диверсификации находится процесс распределения основной ценности, производимой процессом/процессами организации, между множественными активностями, которые не должны быть прямо связаны между собой. Таким образом, общая ценность должна быть распределена между множественными процессами, что позволит контролировать общую "стоимость" и снизить риски её утраты. Методы диверсификации представляют собой наиболее распространенные техники снижения суммарной величины возможного ущерба и применяются для снижения последствий случайных видов плохоидентифицированных рисков. Если речь идет о системном риске, то применение метода диверсификации является несистемным и не может являться частью процесса, а только временным решением, возникшей рисковой ситуации.
• Методы компенсации рисков;
• Методы данной группы относятся к методам, направленным на предупреждения опасности превентивными способами. Это делает рассматриваемые методики более трудоемкими и требовательными к качеству используемой ими информации, по сравнению с упомянутыми выше, но более "зрелыми" и качественными. Этот факт способствует рекомендации к применению этих техник в комплексной системе по анализу и управлению рисками. К ним нужно отнести стратегическое планирование деятельности предприятия в целом, как средство компенсации риска. Стратегическое планирование эффективно только в том случае, если процесс разработки стратегического плана, его актуализация и сопровождение задействует все сферы деятельности конкретной организации. В ходе выполнения процедуры планирования/перепланирования разрешаются многие существующие в организации неопределенности, становится возможным предугадать появление многих "узких мест" в бизнес процессах. Так же к данным методам можно отнести процедуры прогнозирования использования инновационного программного обеспечения, и многие другие процедуры, направленные на модернизацию и инновации в устоявшихся бизнес процессах компании.

Важно помнить, что при выборе того или иного метода необходимо учитывать достоверную и проверенную информацию. На основе собранной информации должно быть возможно принять адекватное, для конкретного случая, управленческое решение, обусловленное как стратегическими, так и тактическим факторами деятельности. Принятое решение, как минимум, должно быть эффективным для ситуации, в которой оно принимается, а так же, по возможности, учитывать потенциальные будущие риски, которые могут проявиться, с учетом тренда развития процесса и прогноза рисковой составляющей.

Следуя принятому стилю изложения материала, мы оговоримся и констатируем тот факт, что перечисленные методики не противоречат друг другу, а взаимодополняют, по факторам, уровням и локациям своего проявления. Приведенная классификация видов методов позволяет на их основе выстроить систему методов управления рисками, которая должна быть своими результатами синхронизированная с общей системой риск-менеджмента предприятия, но более комплексно и подробно о видах методов мы поговорим чуть позже, когда будем рассматривать комплексную программу управления рисками.

Перед принятием решения о использовании определенного метода или группы методов, можно порекомендовать лицу, ответственному за это решение, учитывать следующие принципы:

• Нельзя "рисковать" больше, чем это может позволить выделенный на активность бюджет;
• Нельзя рисковать многим ради малого:
• Последствия принятого риска должны полностью покрываться имеющимися ресурсами;
• Возможная выгода от реализации рисковой ситуации должна принести значительное преимущество для процесса/проекта/активности;
• Следует планировать последствия риска и иметь стратегию по работе с ним или его последствиями;

Реализация методов по работе с рисками, как любая значимая активность, должна соответствовать современным принципам процессного менеджмента, составляющих базис большинства успешных компаний. Процессы управления рисками должны быть спланированы, и постоянно актуализироваться, управляться, контролироваться и совершенствоваться на каждой стадии своего выполнения, с учетом конкретных условий внешней и внутренней среды, в которой они применяются.

7.6. Выводы по изученной лекции

Сегодня мы подвели итоги в изучении трех лекций, составляющих базисный модуль нашего курса.

Модуль "Виды анализа рисков", подытоженный сегодняшней лекцией "Системный подход к управлению рисками" представляет собой самодостаточную часть нашего курса, в которой мы изложили фундаментальные аспекты деятельности по анализу и управлению рисками. Причина, по которой мы уделили довольно большое внимание именно видам анализа рисков, состоит в том, что с помощью теоретического и практического материала по качественному и количественному видам анализа рисков формируется базис дисциплины управления рисков.

Понимая и умея применять изложенную в лекциях информацию каждый "зрелый" специалист будет способен организовать процессы риск-менеджмента и суметь добиться успешных результатов в конкретной организации, учитывая специфику её работы.

Так же мы довольно подробно рассмотрели суть активности управления рисками и концепцию приемлемого риска, которая должна использоваться на каждом предприятии. Концепция приемлемого риска определяет уровень рисков, который допустим для организации и таким образом, устанавливает тренд "рисковости", который допустим для процессов конкретной компании.

Мы упомянули о методах управления рисков и далее расширим эту тему, изложив её в виде инструментария, рекомендуемого для применения в нашей следующей лекции.