Управление рисками в процессе деятельности организации. Деятельность по управлению рисками. Управление кредитными рисками

Понижение уровня их действия представляют приоритетное направление менеджмента организации в условиях влияния разнообразных обстоятельств на работу компании.

Принципы системы по управлению рисками

Выстраивание системы для управления угрожающими и проблемными ситуациями основывается на некоторых принципах:

1. Комплексности, при которой предусматривается взаимодействие всех подразделений предприятия для определения и оценки угроз по видам и направлениям деятельности.
2. Непрерывности. Постоянное наблюдение и контролирование рисков важны в условиях изменяющихся ситуаций и условий работы в организации, появления новых типов угроз, в отношении которых требуются контроль и анализ развития.
3. Интеграции. Оценка интегрального риска обеспечивает взвешенную оценку влияния на коммерческую деятельность полного набора потенциальных рисков с учетом их взаимосвязей (изменение стоимости товара, проблемы с контрагентами, налоговые запреты, техногенные аварии).

Приемы и методы управления

Методы управления рисками отличаются разнообразием, обусловленным многочисленными вариантами ведения предпринимательской деятельности, но их можно объединить в несколько однородных групп.

Приемами и средствами для разрешения проблемных ситуаций, применяемыми на предприятии, считаются методы:

1. Избегания риска, при котором имеет место отказ от мероприятий и процессов, которые могут стать причиной более существенных проблем (реализация проблемного актива, уход с рынка, отказ от работы в проекте с неясным результатом). Консервативный метод не имеет широкой востребованности, поскольку в результате получается потеря выгоды из-за отказа от исполнения некоторой деятельности.
2. Удержания риска, связанный с самострахованием (переводом на себя риска) путем создания резервов для покрытия потенциальных потерь (убытков).
3. Передачи риска в форме:
   • аутсорсинга (передачи компанией функций непрофильного типа сторонним организациям), позволяющего снизить уровень проблемы за счет уменьшения расходов по переданным видам работ и повысить эффективность работ в целом;
   • страхования, при котором заключаются договора со страховыми организациями, покрывающими риски за счет выплаты возмещения при страховой ситуации;
   • или страхования от неблагоприятного колебания состояния на рынке в виде указания в договоре жестких критериев по проводимой сделке (по цене на продукцию, курсу приобретения валюты).
4. Уменьшения риска. Предприятие не избегает угрожающей ситуации, а пребывает в зоне ее действия и пытается влиять на ее купирование, используя диверсификацию деятельности, формирование провизий (резервов), установление ограничений (по производственным циклам).

Выявленные проблемы анализируются с количественных и качественных позиций по шансам на их появление и величине потенциального ущерба. После чего определяется степень толерантности для организации, то есть максимальный размер ущерба (наибольший риск), который в силах понести предприятие в конкретный момент. По мере развития организации и в зависимости от ее стратегических направлений указанный показатель следует постоянно пересматривать.

Выбирая метод, направленный на понижение степени угрозы, важно выдерживать оптимальное соотношение между предельными расходами для реализации идеи и их соответствием предельной выгодности. В реальности чаще придерживаются критерия наименьших затрат для понижения уровня угрозы до приемлемого показателя.

Внимание! Инструменты, применяемые при управлении рисками, имеют разную эффективность. Поэтому на практике используют комбинации указанных инструментов, отдавая предпочтение более выгодным в каждый конкретный момент деятельности.

Управления рисками на предприятии

Определяя конкретное направление и способы для разрешения проблемы, предприятие должно придерживаться соблюдения следующих условий:

• управление рисками должно сочетаться с корпоративной стратегией, принятой в организации;
• для решения проблемы опасны действия в пределах, превышающих размер собственного капитала;
• неразумно подвергать угрозе многое ради сомнительного выигрыша в незначительном;
• важен тщательный анализ для предугадывания возможных последствий проблемы;
• принятый вариант должен быть экономически обоснованным, основанным на достоверной информации и не оказывающим отрицательного действия на итоговые показатели хозяйственного функционирования предприятия;
• принимаемые решения должны основываться на учете объективных показателей сферы, где ведется деятельность предприятия.

Управление рисками начинается с выяснения целей. Для этого используются методы, сочетающие прогнозирование возможностей и потребностей организации и анализ рынка, конъюнктуры, планов развития бизнеса.

На основе полученных сведений разрабатываются экономико-математические модели функционирования организации, проводится анализ полученных статистических данных по качественным и количественным параметрам. На конечном этапе в ходе сопоставления действенности различных вариантов развития и методов действия выбирается оптимальный набор мер для управления рисками.

Важно! Итоговые показатели, формируемые на определенном этапе исследования и управления, используются в качестве начальной информации для следующих аналогичных процедур, образуя непрерывную и поступательную систему по принятию решений. Подобная организация процесса позволяет своевременно корректировать комплекс применяемых методов воздействия на проблемы, обеспечивая тем самым максимальный эффект в достижении производственных целей организации.

Служба риск-менеджмента на предприятии

В начальный период дополнение структуры организации системой по управлению рисками включает создание подразделения риск-менеджмента, выявления его места в организационной структуре предприятия, обязанностей и прав работников.

В качестве главных функций указанного подразделения в организации следует выделить:

• определение и анализ типа угрозы, оценку ее вероятности и размеров;
• разработку и внедрение мер для предупреждения и минимизации рисков;
• выработку механизмов ликвидации последствий (убытков) и восстановление предприятия (кризисное регулирование).

Получая необходимую для анализа информацию о текущем состоянии и прошлых периодах работы, служба риск-менеджмента производит реальную оценку динамики показателей работы предприятия при постоянном влиянии разного вида факторов внутри и извне (экономических, политических).

В ходе анализа определяются потенциальные зоны рисков, сопутствующих работам в организации, прогнозируются потенциальные выгоды и негативные изменения от воздействия выявленных проблемных факторов.

Использование конкретного метода для анализа связано с рядом факторов:

• для каждого типа рассматриваемого риска действенны определенные методы анализа и особенности их проведения;
• значимая роль в анализе отводится величине и качеству исходных показателей (данных);
• для результатов анализа чрезвычайно важен учет динамики именно показателей, воздействующих на степень угрозы;
• выбор метода для ведения анализа должен производиться с учетом доступности прошлых периодов по используемым данным и дальности периода прогнозирования показателей, действующих на изменения риска;
• имеют значение элемент срочности и технические условия для выполнения анализа;
• должны учитываться указания контролирующих органов государства по формированию отчетных сведений по рискам.

Итогом разностороннего анализа служит вероятностный прогноз рыночной конъюнктуры с учетом возникновения ряда рисков.

Продолжением аналитической работы соответствующего подразделения выступает создание программы мер и процедур по управлению вероятностными угрозами, учитывающей:

• вероятность и сумму потенциального ущерба;
• имеющиеся и предлагаемые службой механизмы по понижения угрозы и их эффективность;
• практическую возможность по реальному выполнению мероприятий с учетом имеющегося лимита ресурсов;
• соответствие принимаемых к внедрению мероприятий действующим нормативным актам и планам по развитию предприятия.

Подготовленная программа в обязательном порядке проходит утверждение руководством компании и учитывается при подготовке финансовых и производственных планов организации.

Важно! При реализации утвержденных мероприятий подразделение риск-менеджмента должно проводить непрерывный анализ эффективности исполняемых мероприятий, а при необходимости использовать меры для корректировки процедур и минимизации угроз.

При исполнении утвержденного комплекса мер следует накапливать всю информацию о недостатках и сбоях в программе, возникающих в ходе работы, с передачей в службу менеджмента. Данный подход на базе использования возникающей новой информации обеспечивает разработку следующих программ по уменьшению угроз на более высоком качественном уровне.

В эпоху экономического и финансового кризиса управление рисками является наиболее актуальной проблемой, встающей перед российскими промышленными компаниями. Процессы глобализации становятся еще одним источником экономических рисков, поэтому использование основ риск-менеджмента в управлении будет способствовать достижению целей и задач химических компаний, хотя и, безусловно, не сведет степень вероятности появления различного рода рисков до нулевой отметки.

Внедрение системы риск-менеджмента на предприятиях дает возможность:

• выявить возможные рисков на всех этапах деятельности;
• спрогнозировать, сопоставить и проанализировать возникающие риски;
• разработать необходимую стратегию управления и комплекс принятие решений по минимизации и устранению рисков;
• создать условия, необходимые для реализации разработанных мероприятий;
• проводить мониторинг работы системы управления рисковыми ситуациями;
• анализировать и контролировать полученные результаты.

К особенностям риск-менеджмента можно отнести: необходимость наличия у руководства компаниями опережающего мышления, интуиции и предвидения ситуации; возможность формализации системы управления рисками; способность быстрого реагирования и выявления путей совершенствования функционирования организации, сокращения степени вероятности нежелательного хода событий.

Комплексная система управления рисками ERM (Enterprise Risk Management ) во многих зарубежных компаниях, например, в США, используется уже довольно широко, поскольку хозяева крупных мировых компаний уже на практике удостоверились, что старые методы управления не соответствуют современным рыночным условиям и не в состоянии обеспечивать успешное развитие их бизнеса.

Применение риск-менеджмента предполагает четкое распределение ответственности и полномочий между всеми структурными подразделениями. В функции высшего руководства входит назначение ответственных за выполнение необходимых процедур управления рисками на всех уровнях. Такие решения должны соответствовать стратегическим целям и задачам компании и не нарушать условия действующего законодательства. При этом следует правильно распределить среди исполнителей мероприятие по выявлению рисков и функции контроля за создавшейся рисковой ситуацией.

Управление рисками как ключевой инструмент, направленный на повышение эффективности деятельности

Управление рисками является одним из ключевых инструментов, направленных на повышение эффективности программ деятельности руководителей предприятия, которую они могут использовать для снижения стоимости жизненного цикла продукции и смягчить или избежать потенциальных проблем, которые могут помешать успеху деятельности предприятия.

Достижение целей предприятия требует конкретных представлений об основном виде деятельности, технологиях производства, а также изучения основных видов рисков. Предупреждение рисков и снижение потерь от воздействия приводит к устойчивому развитию предприятия. Процесс, при котором деятельность предприятия направляется и координируется с точки зрения эффективности управления риском и представляет собой риск-менеджмент. Управление рисками является процессом выявления потерь, с которыми организация сталкивается в процессе основного вида деятельности и степени их воздействия, и выбора наиболее подходящего метода для управления каждым отдельным видом риска.

В другом представлении, управление рисками представляет собой систематический процесс, при котором риски, оцениваются и анализируются для уменьшения или устранения их последствий, а так же для достижения целей.

На основе вышесказанного можно прийти к выводу, что управление рисками для обеспечения жизнеспособности и эффективности деятельности предприятия, является циклическим и непрерывным процессом, который координирует и направляет основные виды деятельности. Это целесообразно осуществлять при помощи выявления, контроля и снижения влияния всех видов рисков, включая мониторинг, контакты и консультации, направленные на удовлетворение потребностей населения, без ущерба для возможности будущих поколений удовлетворять свои собственные потребности. Оценка риска приводит к стабильности деятельности предприятия, способствующей его устойчивому развитию. Управление рисками — вклад в устойчивое развитие, является существенным фактором в поддержание и повышение стабильной деятельности предприятия. Активный риск-менеджмент имеет решающее значение для процесса управления, в направлении подтверждения, что риски обрабатываются на соответствующем уровне.

Планирование и осуществление управления рисками включает в себя следующие этапы:

• управление рисками;
• определение рисков и степени их влияния на бизнес-процессы;
• применение качественного и количественного анализа рисков;
• разработка и исполнение планов реагирования на риски и их реализацию;
• осуществление мониторинга рисков и процессов управления;
• взаимосвязь между управлением рисками и результатами деятельности;
• оценка общего процесса управления рисками.

Методология (программа) по непрерывному управлению рисками

В целях содействия деятельности по управлению рисками предприятию необходимо разработать методологию (программу) по непрерывному управлению рисками (МНУР). МНУР является теоретически значимой программой, направленной на разработку механизмов управления проектами с передовой практикой процессов, методов и инструментов управления рисками предприятия. Она обеспечивает условия для активного принятия решений, постоянной оценки рисков, определения степени значимости и уровня влияния рисков на управленческие решения, и осуществление стратегии для борьбы с ними. Кроме того, может быть также достигнут прогресс в масштабах проекта, бюджета предприятия, сроках его реализации и т.д. Рисунок 1 наглядно иллюстрирует методологию непрерывного процесса управления рисками.

Рис. 1. Непрерывный процесс управления рисками

Процесс управления показателями выступает в качестве вспомогательного инструмента получения информации, необходимой для разрабатываемого механизма риск-менеджмента. Неблагоприятные тенденции должны быть проанализированы и дана оценка их влияния на данный механизм. Соответствующие действия механизма управления должны быть приняты для тех областей деятельности, которые определены как базовые в бизнес-процессах предприятия. Корректирующие действия могут включать в себя перераспределение ресурсов (средств, персонала и изменение графика производства) или активацию запланированной стратегии смягчения последствий влияния рисков. Тяжелые случаи, неблагоприятные тенденции и основные показатели могут также учитываются при использовании данного механизма.

Важно, что данный механизм подчеркивает необходимость переоценки выявленных рисков, систематически влияющих на деятельность предприятия. Поскольку система проходит через жизненный цикл разработки, в данном случае большая часть информации станет доступной для оценки степени риска. Если величина риска изменяется значительно, подходы к его обработке должны быть скорректированы.

В целом, такой прогрессивный подход к управлению рисками имеет решающее значение для всестороннего процесса управления и гарантирует, что показатели риска обрабатываются эффективно и на соответствующем уровне.

Разработка программы управления рисками на предприятии

Рассмотрим политику управления рисками, которую следует применять на предприятии. Разрабатываемый механизм (программа) должен быть направлен на эффективное и непрерывное управление рисками. Таким образом, ранняя, точная и непрерывные идентификация и оценка рисков поощряется, а создание информационно прозрачной отчетности по рискам, планирование мер по уменьшению и предотвращению изменению внешних и внутренних условий будет оказывать при этом положительное влияние на программу.

Данный механизм, включая взаимоотношения с контрагентами и подрядчиками, должен выполнять функции по идентификации рисков и их мониторингу. Для его реализации необходимо наличие некоего плана в виде набора руководящих документов, разработанных для конкретных областей деятельности. Этот план устанавливает руководящие принципы для реализации МНУР в определенном временном интервале. Он не влияет на осуществление других видов деятельности всего предприятия, но скорее может обеспечить руководству лидерство в области управления рисками.

Процесс управления рисками должен отвечать ряду требований: он должен быть гибким, инициативным, а также должен работать в направлении обеспечения условий для эффективного принятия решений. Управление рисками будет влиять на риски путем:

• поощрения выявления рисков;
• декриминализации;
• определения активных рисков (постоянная оценка того, что может пойти не так);
• выявления возможностей (постоянно оценивая вероятность благоприятных или своевременных случаев);
• оценки вероятности возникновения и тяжести воздействия каждого идентифицированного риска;
• определения соответствующих направлений действий для снижения возможного значительного влияния рисков на предприятие;
• разработки планов действий или шагов для нейтрализации влияния любого риска, который требует смягчения;
• ведения непрерывного наблюдения за возникновением рисков с незначительной степенью влияния в настоящее время, которое может со временем измениться;
• производства и распространения достоверной и своевременной информации;
• содействия взаимосвязи между всеми заинтересованными сторонами программы.

Процесс управления рисками будет осуществляться на гибкой основе, учитывая обстоятельства возникновения каждого риска. Основная стратегия управления рисками призвана определить важнейшие области рисковых событий, как технических, так и нетехнических, и заранее принять необходимые меры, чтобы справиться с ними, прежде чем они окажут значительное влияние на предприятие, вызывая серьезные затраты, снижая качество продукции или производительность.

Рассмотрим более детально функциональные элементы, которые являются составляющими процесса управления рисками: идентификация (выявление), анализ, планирование и реагирование, а также мониторинг и управление. Каждый функциональный элемент рассмотрим ниже.

1. Идентификация

• Обзор данных (т.е. освоенный объем, анализ критического пути, составление комплексного графика, анализ Монте-Карло, бюджетирование, дефектный анализ и анализ тенденций и т.д.);
• Рассмотрение представленных форм идентификации рисков;
• Проведение и оценка риска с использованием мозгового штурма, индивидуальной или групповой экспертной оценки
• Проведение независимой оценки выявленных рисков
• Введите риска в реестр рисков

1. Идентификация риска / анализ инструментов и методов, которые будут использованы, включают в себя:

• Методы интервью для определения риска
• Анализ дерева отказов
• Исторические данные
• Извлеченные уроки
• Учет риска – контрольный список
• Индивидуальное или групповое суждение экспертов
• Подробный анализ структуры декомпозиции работ, изучение ресурсов и составление графика

1. Анализ

• Проведение оценки вероятности – каждому риску будет присвоен высокий, средний или низкий уровень вероятности возникновения
• Создание категорий риска – выявленные риски должны быть связаны с одним или несколькими из следующих категорий риска (например, затраты, сроки, технические, программные, процессные, и т.д.)
• Оценить влияние рисков – оценить влияние каждого риска в зависимости от выявленных категории риска
• Определение тяжести риска – назначить вероятности и воздействия на рейтинг в каждой из категорий риска
• Определить сроки, когда рисковое событие, вероятно, произойдет

1. Планирование и реагирование

• Приоритетов рисков
• Анализ рисков
• Назначить ответственное лицо за возникновение риска
• Определить соответствующую стратегию управления рисками
• Разработать соответствующий план реагирования на риски
• Составить обзор приоритетов и определить его уровень в отчетности

1. Наблюдение и управление

• Определить форматы отчетности
• Определить форму обзора и частоту возникновения для всех классов рисков
• Отчет о рисках на основе триггеров и категорий
• Проведение оценки риска
• Представление ежемесячных докладов по рискам

Для эффективного риск-менеджмента на предприятии считаем целесообразным создание отдела управления рисками. Основные обязанности данной структурной единицы, в том числе для персонала и других пользователей (включая сотрудников, консультантов и подрядчиков), в целях успешной реализации стратегии управления рисками и процессов приведены в табл. 1.

Таблица 1 — Отдел управления рисками роли и обязанности

Функции управления рисками заключаются в организации взаимодействия с существующими подразделениями организационной структуры. ИПЦ формируются для функциональных областей, которые имеют решающее значение для успешной реализации поставленных задач. Все функциональные отделы или бизнес-процессы, не охваченные КБ, оцениваются и рассматриваются ДП, ПМ, и служащим для обеспечения адекватного поведения в отношении появления риска. Идентификация рисков представляет собой процесс определения того, какие события могут повлиять на деятельность предприятия, и документирования их характеристик. Важно отметить, что идентификация риска является повторяющимся процессом. Первая итерация является предварительной оценкой и проверкой по рискам команды, по мере необходимости, с идентификатором риска. Вторая итерация включает в себя презентацию, просмотр и обсуждение. Процесс управления рисками включает три отдельных этапа по характеристике рисков: выявление, оценка и корректировка, и подтверждение.

Графическое изображение процесса идентификации рисков представлено на рис. 2.

Рис. 2. Структурная схема алгоритма идентификации риска

В результате его внедрения может быть разработан комплекс мероприятий, позволяющих оценить операционные риски предприятия, интегральный риск, количественная оценка которого основана на комплексном анализе финансовой и бухгалтерской отчётности, и проведение оценки интегрального риска на основе всех уровней ответственности предприятия.

Заключение

Управление рисками на химических предприятиях необходимо осуществлять в рамках системного и процессного подходов, с учетом специфики отрасли с использованием современных эффективных методов управления и организаций производства, а также с использованием инструментов риск-менеджмента. Система риск-менеджмента деятельности химического предприятия должна обязательно учитывать требования безопасности, установленными государственными органами власти, и обеспечивать безопасность и сохранение здоровья персонала, связанного с опасным технологическим объектом. В целях эффективного риск-менеджмента предприятия необходима система управления интегральным риском, которая заключается в комплексном подходе к оценке максимального числа факторов риска деятельности предприятия, осуществляемой в условиях динамичной экономической среды. Автор считает, что разработка вышеописанного комплекса мероприятий будет сопутствовать повышению уровня управления и оценки рисков в промышленных организациях.

Под наш неусыпный взгляд попала, деятельность по управлению и анализ рисков, которую мы используем в своей профессиональной деятельности. За прошедшее, с нашего последнего рандеву времени, мы успели подготовить следующую статью.

Продолжение следует, прямо сейчас…
Сегодня мы поговорим о деятельности по управлению рисками.

Введение

Деятельность по управлению рисками, как каждая комплексная деятельность - это сложный итерационный процесс, который имеет свои стадии, цели и задачи. Любая стадия имеет свое назначение, «берет»/«получает» на вход своей деятельности данные, определенные «преддеятельностью» и на выходе формирует конечный/промежуточный результат.

Риск-менеджмент можно верхнеуровневого определить следующей последовательностью этапов:

1. Идентификация риска;
2. Оценка вероятности его наступления и масштаба последствий, которые могут возникнуть;
3. Предварительный анализ и определение максимально-возможных убытков;
4. Выбор методов и инструментов управления выявленным риском;
5. Разработка риск-стратегии для снижения вероятности реализации риска и минимизации возможных негативных последствий;
6. Реализация риск-стратегии;
7. Оценка достигнутых результатов и корректировка риск-стратегии;
8. Мониторинг проблемных областей.

Отраженная последовательность этапов является всего лишь отдаленным представлением рассматриваемой активности, и будет в дальнейшем детализирована и экспертно расширенна. К примеру, представленная в данном плане «риск-стратегия» - это всего лишь набор определенных взаимосвязанных процессов и документов, которые отражают суть всех или некоторых этапов риск-менеджмента.

Управление рисками, как было сказано в первой статье, это довольно молодая отрасль деятельности, в актуальном понимании её целей и задач. Она изучает степень влияния на различные сферы, процессы и т.д., как основные, так и косвенные/смежные, определенных событий, которые влекут за собой наступление различных видов ущерба или прибыли, и то, как ей можно управлять или, в крайнем случае, направлять или контролировать.

Управление и анализ рисков – это отдельная область, имеющая четко определенное отношение к ИТ. Но при этом, данное направление работ было бы некорректно называть наукой, а вполне правильно говорить о методологии, которая обладает собственным понятийным аппаратом, классификацией, видами анализа и т.д.

С представленной точки зрения, основной отличительной чертой данной методологии является терминология. Она представляет собой смесь между такими активностями, как информационные технологии, техника, инженерия, теория машин и механизмов, страховое дело и биржевое дело и т.п. Существование подобной «химеры» сложилось исторически, в соответствии с развитием риск-менеджмента и требует от специалиста, приобщенной к данной профессиональной области, широкого кругозора и разностороннего понимания не только «примерной» сути предмета, но и его деталей, а иначе профессионал рискует остаться за бортом понимания происходящего, что нивелирует его участие в данном процессе.

За каждым термином, которые будут приведены далее в этой статье, скрывается определенный смысл и история развития исходный причин и следствий, которые приобрели своё право на существование благодаря тому, что их важность и постоянная актуальность была подтверждена временем и обоснованностью получаемых результатов, таких как успех или ущерб.

Таким образом, чтобы грамотно управлять и направлять развитие рисков, ведь результатом риска может быть не только урон, но и эффективный результат, необходимо подробнейшим образом разбираться в их категориях, классификациях и типах. Уникальность каждого риска состоит в том, что причины их порождающие, зависят от таких факторов, как тип активности, в которой они проявляются, окружение процесса или события, вид технологии и т.д.

Несмотря на то, что нами было объявлено, что управление и анализ рисков это скорее методология, чем отдельное научное направление в области информационных технологий, важность восприятия и понимания фундаментальных основ, которые имеют свое непосредственное отношение к, казалось бы, совсем не ИТ дисциплинам, это одно из составляющих успеха в овладении и применении знаний по риск-менеджменту в практической деятельности.

Определение основных понятий

Для того, чтобы говорить с Вами, уважаемые коллеги, на одном языке (ведь мы уже поняли насколько это важно), языке рисковой деятельности, необходимо сразу договориться о тех терминах, которые необходимо знать, для успешного освоения и применении на практики знаний риск-менеджмента.

С одной стороны, в силу специфики изучаемого предмета, рано говорить об устоявшейся терминологии в управлении рисками, применительно к информационным технологиям. Безусловно, данная объективная ситуация связана с разнообразием видов риска, которые являются объектом рассмотрения нашей дисциплины. Но нам необходимо очертить рамки наших исследований, а иначе мы с Вами рискуем (да, да, именно так:)) думать о разных вещах.

Определения риска было дано нами в первой статье, здесь же, для формирования полной картины изучаемого предмета, и всестороннего взгляда на довольно сложное понятие, мы приведем его еще раз:

Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.

Учитывая комплексность и многообразие дисциплин, которые «наполняют» риск-менеджмент, целесообразно привести альтернативное понятие риска, приведенное в одном из финансово-инвестиционных учебников:

Риск-событие или группа родственных случайных событий, наносящих ущерб объекту, обладающим данным риском.

Приведенное «финансовое» определение риска обязывает нас расшифровать понятия, которые входят в него:

• Случайность (многие люди ассоциируют понятие случайности и непредсказуемости, что является не совсем верным) наступления события означает невозможность определить время и место его возникновения.
• Объект – материальный объект или интерес, свойство объекта.
• Ущерб – ухудшение или потеря свойств объекта.
• Вероятность события – это признак события, означающий возможность рассчитать частоту наступления события при наличии достаточного количества статистических данных.

Таким образом, риск, как самостоятельное событие, или часть более крупного события обладает двумя наиболее важными, с точки зрения управления рисками свойствами – вероятностью и ущербом.

Каждое событие порождается определенной причиной или набором причин. Такие причины принято называть инцидентами. Цепочка последовательных этапов, которые приводят от первоначального инцидента, к конечному событию – это сценарий развития. Зная те вероятности, которые привели к возникновению инцидентов, можно установить последовательность промежуточных шагов и рассчитать вероятности реализации сценария. Определяющим фактором освоения риск – менеджмента в информационных технологиях является способность одновременно анализировать, учитывать и синтезировать при рассмотрении конкретной ситуации или сценария три следующих домена:

• Домен риска
• Домен менеджмента
• Домен информационных технологий

Именно способность одновременно взаимосвязывать эти, казалось бы, абсолютно разные по своей природе предметы гуманитарного и технического характера способствует успеху в освоении и практическом применении области управления анализа рисков. Способность понимать и распознавать инциденты, относящиеся к различным «природам» возникновения и навык построения сценариев, различные стадий и шаги которых относятся к разным доменам, это важная характеристика высококлассного специалиста в риск-менеджменте.

Управление рисками на примере современных методик

На сегодняшний день многие популярные и основополагающие ИТ методологии из таких направлений как управление проектами (PMBOK), аналитика (BABOK), ИТ-аудит (COBIT), сервисная деятельность (ITIL), разработка программного обеспечения (MOF) и т.д., пытаются предоставить инструмент, который смог бы предложить эффективный алгоритм управления и анализа рисков. Таким «инструментарием» различных направлений деятельности домена информационных технологий являются следующие методы: CORAS, OCTAVE, CRAMM, MOF risk management, Risk it и т.д. Представленные процессы являются основными по востребованности и использованию, поэтому мы рассмотрим их все и попробуем разобраться в специфики каждого.

Краткий обзор методологий управления ИТ-рисками:

CORAS

Была разработана в рамках западной программы «Технологии информационного общества». Цель данной методологии состоит в адаптации, уточнении и комбинировании таких основных методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.

CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management.

В CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а с нескольких сторон, точнее как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений.

OCTAVE

Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги-Меллона (альма-матер многих современных ИТ-методологий и направления програмной инженерии) и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.

Ключевые элементы OCTAVE:

• идентификация информационных активов подверженных риску и ущербу;
• идентификация угроз для критичных информационных активов;
• определение уязвимостей, ассоциированных с критичными информационными активами;
• оценка рисков, связанных с критичными информационными активами.

OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.

OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.

CRAMM

Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по превентивным мерам, позволяющим снизить/устранить воздействие рискам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер.

Модель управления рисками стандарта MOF (MOF Risk Model)

Эта методология заслуживает отдельного упоминания. Мы посвятим ей чуть больше материала и Вашего времени.

Она является самой распространенной на данный момент времени и определяет основные этапы управления рисками, которым в дальнейшем будет посвящена отдельная статья (мы на это очень рассчитываем), но которые мы упомянем и здесь:

• Идентификация рисков - определение причин риска, условий его возникновения, последствий;
• Анализ рисков - оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса;
• Планирование мероприятий - определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние. Также тут разрабатывается план действий в случае возникновения риска;
• Отслеживание риска - сбор информации об изменениях, с течением определенного промежутка времени, различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния
• Контроль (Control) - выполнение запланированных действий в качестве реакции на возникновение рискового события.

Если рассмотреть модель управления рисками в отрыве от стандартов, где она используется (ITIL, MOF, и т.д.), то можно увидеть относительно неглубокое, но фундаментальное представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II (упомянутая в первой статье) – подробнее описывает вопросы организации системы управления рисками в компании.

COBIT 5 for Risk (RiskIT)

Этот стандарт рассматривает подход к управлению рисками с двух аспектов: risk function и risk management.

В первом случае говорится о том, что нужно иметь в организации, чтобы построить и поддерживать систему управления рисками. Во втором мы рассматриваем ключевые процессы руководства и управления для оптимизации рисков и регулярные процедуры для идентификации, анализа, реагирования и отчетности по рискам.

Как Вам уже стало понятно, в ИТ области нет единого и централизованного взгляда на управление рисками. Множественность стандартов и методик вызвана, прежде всего, спецификой анализа и управления рисками в применении, к определенным отраслям и ресурсам, которые могут быть затрачены на их воплощение в жизнь. Но каждая из описанных методик имеет право «быть» только по тому, что они доказали свою состоятельность не только в качестве «книжных» значений, но и как конкретный и эффективный инструмент деятельности. Все из вышеприведенных методик решают, по сути, однотипные проблемы, вызванные похожими причинами и направленные на то, чтобы минимизировать ущерб от наступления риска или устранить его в принципе, но «заточены» по разные виды организаций и процессы, в которых планируется устранять или минимизировать риски. Из изложенных методов наиболее универсальным, без сомнения является MOF, которые с той или иной степенью адаптации может быть использован в любом типе активности, а вот остальные являются, по большей части, специализированными инструментами, требующими разного степени внимания и разных ресурсов. При желании, каждый из Вас может в «глобальной паутине» найти более подробную информацию об изложенных методах.

Актуальность деятельности по работе с рисками на сегодняшний день

На сегодняшний день информационные технологии предоставляют разнообразный инструментарий для поддержки и развития любого типа специальной деятельности, независимо от её специфики и других характеристик, будь это узконаправленный тип электронного бизнеса, сфера образования или общеиспользуемый вид хозяйственных услуг.

Высокие технологии позволяют повысить эффективность уже существующих процессов, стать фундаментом для создания новых, но при этом, при условии их неуправляемого использования, становятся источником возникновения колоссальных рисков, которые, в случае «наложения», могут быть источниками многих «эмерджентных» результатов. Общеизвестный факт, что к деятельности по работе с рисками, в большинстве стран, особо плачевное состояние в данном направлении наблюдается и в РФ, относятся, как к ненужной избыточности, которая в последнее направление стала «модным» направлением деятельности, которому необходимо «как бы» следовать в силу многих факторов. Но реалии современных условий таковы, что при сохраняющихся темпах развития современного мира (прогнозируется что эти темпы будут только расти) предусмотреть, выявить и зафиксировать полный спектр возможных проблем для ИС (наиболее динамично изменяющаяся отрасль) практически не возможно, в не зависимости от того, какой именно тип работ выполняется: внедрение новых программных продуктов и комплексов, поддержка и развитие уже существующих или вывод из эксплуатации устаревших с последующим процессом миграции критически значимой для конкретной организации информации. В таком окружении вид деятельности, который направлен на проактивную и превентивную активность в разрезе решения/недопущения/устранения и т.д. возникающих задач и проблем становится особо важным. Таким видом деятельности и является направление анализа и управления рисками, что подтверждается активным ростом базы стандартов и методик, в которых полностью или частично рассматривается работы с рисками. Для примера можно привести следующие методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и т.д.

Общие причины рисков

В основе любой конструктивной деятельности заключено ясное понимание целей, задач и ресурсов, которые необходимы для достижения конечного результата.

Чем более определенными и однозначными являются эти факторы, тем ниже степень неопределенности, которая потенциально может повлиять на достижимость поставленной цели. На основе этого абсолютно очевидно, что главной причиной любого риска является степень неопределенности, которая заложена в тех постулатах, которые являются рамками процесса или проекта, инициирующими рассматриваемую нами активность. То, насколько очевидными являются наши проблемы и те ресурсы, которые выделены для их решения, определяет рискованность нашей деятельности. Неопределенные задачи, априори, обречены на то, что возможность составления и реализации жизнеспособного плана по их разрешению является «тычком» пальцем в «никуда».

Более высокая неопределенность условий как внешней, так и внутренней среды приводит к тому, что ресурсы, выделяемые на преодоление этих условий, должны быть как можно более качественные. Многие негативные факторы и причины можно предвидеть и «искоренять» основываясь только на опыте специалистов, имеющих высокие навыки по работе с рисками, но это вряд ли можно считать прогнозируемым фактором, который нужно использовать при построении системы риск-менеджмента. Проблема «ограниченности» ресурсов – это проблема, которая приводит к возникновению дефицита продуктивности.

При реализации проектов, которые имеют высокую степень неопределенности, необходимо уделять повышенное внимание общеиспользуемой системе анализа и управления рисками. Такая система должна учитывать специфику, как деятельности, в которой происходят процессы, связанные с рисками, так и организационную составляющую проекта и организации, в которой он выполняется.

Организационная составляющая и внимание, которое уделяется работе с рисками это отдельная тема и направление деятельности, которому, к сожалению, в России отводится мизерные затраты. Примером этому может являться то, что во многих руководящих документах не рассматриваются аспект рисков в принципе, их допустимый уровень и ответственность за принятие определенного уровня рисков.

В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority –это лицо, уполномоченное принять решение о допустимости определенного уровня рисков, что свидетельствует о качественно ином отношении к анализу и управлению рисками, к которому в нашей стране, конечно со временем придут, но затратив для этого множество бесполезных ресурсов.

Вовлеченность всех работниках на всех уровнях структурной иерархии любого предприятия в деятельность по анализу рисков и более пристальное отношение со стороны руководства, смогли бы коренным образом изменить, годами складывающиеся, пессимистичные тенденции в данной области и тем самым вывести основные процессы ИТ отрасли на качественно иной уровень.

Ясное понимание целей и задач осуществляемой деятельности помогают выявлять и минимизировать подавляющее число причин, которые приводят к возникновению рисков.

Цели и задачи управления рисками

В основе деятельности по анализу и управлению рисками должно находиться явное, определенное и однозначное видение того, зачем необходимо данному, конкретному субъекту анализировать риски и управлять ими. Без четко намеченного плана (в идеальной ситуации, появившегося из стратегии развития) оценить и правильно идентифицировать информационные риски очень сложно, а порой даже невозможно. Успешность этих деятельностей будет зависеть только от квалификации обслуживающего их персонала, которая обсуждалась чуть ранее. Необходимо отметить отсутствие единого взгляда и стандарта/порядка/регламента, который смог бы описать и предложить путь решения всех явных и потенциальных проблем.

Каждая ситуация, каждый процесс состоит из множества элементарных объектов. Эти составляющие необходимо подвергнуть процедуре анализа. Подробность рассмотрения конкретной частицы зависит от величины вклада рассматриваемого объекта в результат деятельности.

Чем более сложные и многогранные процессы мы рассматриваем, тем более важным является детальная предварительная проработка сферы деятельности, методологии, в которой может возникнуть риск и применение лучших практик и методов, признанных и апробированных ранее в работе над ними.

Понимание целей помогает осознанно контролировать все рассматриваемые процессы, понимая заданный тренд и допустимые отклонения в его «пути».

Основная цель в активности анализа рисков – это предоставление наиболее полной и достаточной информации для адекватного управления рисками.

Под управлением более правильно понимать не «управление», как конкретную функцию менеджмента, но как саму дисциплину «менеджмент», которая заключает в себе 5 процессов:

• Управление
• Инициирование
• Планирование
• Выполнение
• Мониторинг и контроль

Процесс совершенствования, который получает в последнее время наиболее бурное развитие благодаря распространению процессного подхода к организации деятельности, рассматривать здесь не вполне корректно. Причина этого в том, что рисковая составляющая должна «гаситься» со временем проведения процессов анализа и управления.

Активность анализа подразумевает под собой выполнение части активности совершенствования за счет того, что своевременно выстроенная система метрик основных «ущербных» составляющих процесса или проекта на этапе мониторинга и контроля, позволит существенно сократить затраты на эту составляющую и направить их в более конструктивное русло.

Итогом стадии анализа является исчерпывающие количественные и качественные данные, поступающие на «вход» стадии управления. Результатом этой стадии является без рисковый или «подконтрольнорисковый» результат.

Воплотить на практике вышеприденные тезисы будет возможно в том случае, когда каждый субъект, задействованные и взаимодействующий с объектом, подверженному риску, осознает важность и необходимость своей вовлеченности в работу с рисками, появление которых, пусть даже гипотетически, возможно.

Понимание и участие в управлении анализа рисками и своевременная эскалация возникающих проблем и задач, на всех иерархических ступенях любой организации, позволит добиваться поставленных целей.

После того, как цели и задачи установлены, приняты и однозначно понимаются всеми участниками, следующей ступенью при работе с рисками является их идентификация (в планах следующая статья будет посвящена именно идентификации рисков). Базисом процесса идентификации является категорийная база, которая является инструментом для отнесения риска к той или иному классу или группе категорий рисков. «Помещение» риска в правильную категорию является залогом того, что в дальнейшем, работа по обработке доступной информации о нем и выработка дальнейшего алгоритма работы над ним, позволит устранить или уменьшить величину ущерба от его появления.

Классификация и категории рисков

На текущий момент развития области рисков в информационных технологиях уместно говорить о множественной типизации рисков. Отрасли информационных технологий присущ набор рисков, который наиболее характерен для рисков, связанных с высокотехнологичной и комплексной деятельностью, включающей в себя различные виды процессов. Набор рисков, характерный для определенного вида деятельности, называется комплексом рисков.

Когда речь заходит о комплексе, то, если использовать техническую терминологию, можно констатировать, что комплекс рисков является «взаимно пересекающим множеством» между всеми существующими комплексами рисков. Несмотря на рекурсивность получающегося определения, оно наиболее четко выражает сущность понятия комплекс рисков.

Комплексы рисков являются характерной составляющей для промышленности, финансовой и инвестиционных областей, коммерции, сферы кредитования и, конечно же, области информационных технологий. Таким образом, чем более сложный и комплексный вид деятельности, находящийся на «стыке» различных практических и теоретических областей, мы рассматриваем, тем более сложными и многогранными будут риски.

Информационные риски, возникающие в процессах и проектах, отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, на способ их анализа и методы первичного и последующих описаний.

Как правило, все виды рисков взаимосвязаны и эмерджентны, поэтому оказывают влияния на осуществляемую деятельность не только сами по себе, а и в совокупности.

Изменение одного вида риска может вызывать изменение большинства остальных, находящихся в определенном комплексе. Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.

Наиболее важными элементами, положенными в основу классификации рисков, являются:

• время возникновения;
• характер;
• факторы возникновения;
• последствия;
• и др.

По времени возникновения риски распределяются на ретроспективные (прошлые), текущие и перспективные (будущие) риски.

Анализ ретроспективных рисков, их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски, предсказывать возможную природу их появления и, соответственно, управлять ей.

По характеру риски делятся на:

• Внешние риски . К ним относятся риски, непосредственно не связанные с деятельностью предприятия или взаимодействующим с ним окружением (деятельность поставщиков, смежных компаний, внешних разработчиков, аутсорсинговые и консалтинговые компании, партнеры и т.д.).
• Внутренние риски . К ним относятся риски, обусловленные деятельностью самого предприятия и составляющей его аудитории (риски связанные с квалификацией персонала, ИТ инфраструктурой, используемых технологий и т.д.).
• Организационные риски (ОР) . ОР - это риски, связанные с ошибками менеджмента компании, ее сотрудников; проблемами системы внутреннего контроля, плохо разработанными правилами работ, то есть риски, связанные с внутренней организацией работы компании.
• Процессные риски (ПР). . ПР – это под раздел организационных рисков. Данный тип рисков характерен для отдельных видов процессов. Они связаны, как с выполнением отдельного процесса, так и с процессами, деятельность которых взаимосвязана функциями, которые они осуществляют (кросс-процессы).
• Проектные риски (ПРР) . ПРР – это риски, характеризующие степень опасности для успешного осуществления проекта в целом или его отдельных этапов.
• Операционные риски (ОПР). . ОПР – это риски, связанные с выполнением организацией определенных бизнес-операций.

Сложно не заметить, что классификация по фактору возникновения представляет собой «матрешку». Вложенность факторов соответствует распределению пунктов в процессной модели любой компании, при этом, каждый из рассмотренных групп рисков имеет «внутренние» классификации, которые могут быть декомпозированы и расширены до уровня, необходимого для отслеживания и контроля за определенным видом риска.

По последствиям риски подразделяются на:

• Чистые риски (иногда их еще называют простые или статические) характеризуются тем, что они практически всегда несут в себе потери для предпринимательской деятельности. Причинами чистых рисков могут быть стихийные бедствия, войны, несчастные случаи, преступные действия, недееспособности организации и др.
• Спекулятивные риски (иногда их еще называют динамическими или коммерческими) характеризуются тем, что могут нести в себе как потери, так и дополнительную прибыль для предпринимателя по отношению к ожидаемому результату. Причинами спекулятивных рисков могут быть изменение конъюнктуры рынка, изменение курсов валют, изменение налогового законодательства и т.д.

Говоря о последствиях возникновения рисков, нужно выделить отдельную классификацию по степени последствий возникновения рисков. Эта «подклассификация» является очень важной для принятия решений по осуществимости той или иной деятельности, связанной с рисками:

• Допустимый риск. Это риск решения, в результате неосуществления которого возможно «недостижение» поставленной цели деятельности. В пределах этой зоны деятельность сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой ценности.
• Критический риск. Это риск, при котором возможна потеря всей или части ценности результата; т.е. зона критического риска характеризуется опасностью потерь, которые заведомо превышают возможный результат и, в крайнем случае, могут привести к потере всех средств, вложенных в проект.
• Катастрофический риск. Это риск, при котором возникает полная потеря ценности и возможно, что субъект риска понесет дополнительные затраты. Также к этой группе относят любой риск, связанный с прямой опасностью для жизни или дальнейшей деятельности людей.

Успех при отнесении риска к тому или иному пункту данной классификации, напрямую зависит от многих факторов, для полноты взглядов можно выделить 2 из них:

• Количественная степень изученности и определенности конкретного вида рисков
• Квалификация, навык, опыт, «предвидение» риск-менеджера, принимающего решение по осуществлению деятельности, подверженной рискам.

Если, речь идет только о втором факторе, то, как отмечалось ранее, сложно говорить о том, что на предприятии выстроена качественная система по работе с рисками.

Успешность деятельности такой организации зависит только от конкретных специалистов, которые представляют собой «организацию в организации». Как правило, при уходе подобных специалистов, риск-менеджмент предприятия подвергается полному краху. Без четко выстроенной системы, в основу которой положена процессная модель с постоянным измерением результата деятельности, по заданным метрикам успешности, в современном мире высоких технологий, результат будет достичь довольно сложно. Но об этом чуть позже, в специально отведенной для этого статье.

Подводя итоги темы классификации рисков, надо упомянуть о том, что приведенные здесь классификация не претендует на полноту и достаточность. В любой активности, возможно появление рисков, которые несут на себе отпечаток и результаты специфичной деятельности конкретного предприятия. Проявление в них рисков, возможно и уникальны, единичны или присутствуют в групповых случаях, зависящих от конкретного окружения и четко определенных параметров деятельности, отдельно взятой организации. Такие риски должны быть рассмотрены отдельно, в соответствии с системой по анализу и управлению рисками, спроектированной под нужды данного конкретного предприятия.

Перед тем, как осуществлять классификацию рисков, необходимо правильно выявить оценить и понять предпосылки, которые могут привести к появлению или проявлению риска. Стадия анализа рисков, которая позволяет провести подобную активность – это идентификация риска. От того, насколько правильно и дальновидно проведена идентификация риска зависит верность выбранного метода по работе и минимизации дальнейшего возможного или явного ущерба.

Выводы

Мы завершили краткое саммэри в направление по анализу и управлению рисков, кратко очертив границы данной деятельности. Здесь мы постарались конспективно ознакомить коллег с многообразием видов, типов и составленной на их основе классификации рисков, возникновению которых, в сущности, как было нами показано, способствует, в большинстве случаев, неопределенность начальных условий или ресурсов.

В дальнейшем мы приступим к подробному рассмотрению предваряющей стадии анализа рисков – процессу их идентификации и связанных с ним методов и методологий.

Желаем коллегам совершенствования в работе с/над ИТ- рисками.

Всего доброго и до встречи!

Сущность рисков и их классификация

Впервые понятие «риск» применительно к деловой сфере деятельности человека было сформулировано в страховом деле, а позднее и в биржевом. Менеджмент в качестве науки управления привнес в новую область знаний понимание того, как должен быть организован процесс управления рисками.

Понятие «риск» определяется неоднозначно и часто зависит от контекста его использования. Риск в наиболее общем виде можно определить как возможную опасность.

В широком смысле риск представляет собой ситуативную характеристику деятельности любого рыночного субъекта, что является следствием неопределенности в его внутренней и внешней среде, и при его реализации для данного субъекта возможно наступление неблагоприятных последствий.

В узком смысле под риском следует понимать вероятность несения предприятием потерь в результате ведения предпринимательской деятельности.

Основные характеристики риска сводятся к следующему:

Риск присутствует всегда на всех этапах деятельности хозяйственных субъектов вне зависимости от сферы их функционирования, при этом отличие состоит только в его степени;

Полное устранение риска невозможно в силу целого ряда причин как объективного, так и субъективного характера.

Риск-менеджмент начал оформляться в отдельную науку во второй половине XX в., категориальный аппарат и методология риск-менеджмента еще не устоялись в полной мере. Тем не менее считается, что на микроуровне возникновение рисков связано с неопределенностью.

По степени выраженности выделяют три основных вида неопределенности:

Полная неопределенность (характеризуется близкой к 0 прогнозируемостью наступления события);

Частичная неопределенность (характеризуется тем, что вероятность наступления события, а следовательно, и степень его прогнозируемости находится в пределах от 0 до 1);

Полная определенность (характеризуется близкой к 1 прогнозируемостью наступления события).

Причины возникновения неопределенности можно объединить в несколько основных групп:

Недетерминированность процессов, проходящих в обществе в целом и в экономической жизни в частности;

Отсутствие полной информации при планировании поведения рыночного субъекта либо ее субъективный анализ;

Влияние субъективных факторов на результаты проводимого анализа.

Возникновение неопределенности в условиях функционирования предприятия и управления им может быть обусловлено действием различных факторов, среди которых наиболее распространенными являются:

Неопределенность в определении периода стратегического планирования развития предприятия;

Неопределенность в формировании целей предприятия и выборе приоритетов развития;

Ошибки в оценках настоящего положения дел внутри предприятия и его места на рынке;

Недостаточная полнота или ошибочность информации о перспективах развития данного предприятия и рынка в целом;

Сбои в процессе разработки стратегии предприятия, а также во время ее реализации;

Неопределенность в контроле и оценке результатов деятельности предприятия.

Стратегия развития предприятия в условиях рыночной экономики должна формироваться с учетом этих видов неопределенности на каждом из этапов: на этапе определения стратегии; формирования целей; разработки путей реализации выбранной стратегии и формирования направлений деятельности; анализа собственных компетенций; контроля за реализацией стратегии.

Хозяйствующие субъекты в процессе своего функционирования испытывают влияние различных видов неопределенности и рисков и, в известной степени, могут управлять ими.

Эффективность управления рисками во многом определяется идентификацией рисков в общей системе их классификации. Риски могут быть классифицированы по различным признакам (таблица 16.1).

Таблица 16.1

Классификация рисков

Принципы и основные этапы процесса

Управления рисками

В экономической литературе существует достаточно большое количество подходов к управлению рисками. В широком смысле управление рисками понимают как науку об обеспечении условий успешного функционирования любой производственно-хозяйственной единицы в условиях риска, в узком смысле – как процесс разработки и внедрения программы уменьшения любых случайно возникающих убытков.

Управление риском как любая система управления состоит из управляемой и управляющей подсистем. Управляемая подсистема или объект управления представляет собой совокупность рисков и связанных с ними отношений, а управляющая подсистема или субъект управления – это специальная группа людей, которая посредством различных приемов и способов управленческого воздействия осуществляет функционирование хозяйственного субъекта в условиях риска.

Можно выделить несколько основных принципов процесса управления рисками:

1) принцип масштабности заключается в том, что хозяйствующий субъект должен стремиться к наиболее полному изучению возможных сфер возникновения рисков. Таким образом, этот принцип обусловливает сведение степени неопределенности до минимума;

2)принцип минимизации риска означает, что предприятия стремятся минимизировать, во-первых, спектр возможных рисков, во-вторых, степень их влияния на свою деятельность;

3) принцип адекватности реакции состоит в том, что хозяйствующий субъект должен быстро реагировать на внутренние и внешние изменения с учетом прогноза их развития;

4) принцип разумного принятия означает, что только в том случае, когда риск обоснован, предприятие может принять его. Составляющие этого принципа могут быть сведены к следующему:

Неразумно рисковать большим ради меньшего;

Принимать риск необходимо только в размерах собственных средств;

Необходимо заранее прогнозировать возможные последствия в случае реализации риска.

Процесс эффективного управления риском включает в себя следующие этапы :

1. Идентификация. На данном этом этапе предприятие определяет возникновение совокупности всех возможных рисков.

2. Оценка .На этом этапе делается полный анализ риска как по масштабу его влияния, так и по вероятности наступления.

3. Выбор стратегии в отношении риска. Стратегия фирмы может быть различной: осторожной, рискованной или взвешенной (таблица 16.2).

Таблица 16.2

Стратегии предприятия в отношении риска

4. Снижение степени риска. На этом этапе предприятие занимается выбором методов воздействия на риск с целью минимизировать либо размер возможного ущерба, либо вероятность наступления неблагоприятных событий.

5. Контроль. Данный этап заключается в наблюдении за эффективностью применения методов управления рисками, контроле текущей обстановки (как внутренней так и внешней), выявлении новых обстоятельств, изменяющих уровень риска.

На каждом из этих этапов идет сбор и обмен информацией, и от ее объема и качества зависит степень риска.

В некоторых случаях для управления риском в организации должно быть создано специальное подразделение – отдел управления рисками, возглавляемый риск-менеджером, то есть руководителем, который занимается исключительно проблемами управления рисками и координирует деятельность всех подразделений в плане регулирования риска и обеспечения компенсации возможных потерь и убытков.

Можно выделить три основных организационных аспекта создания структуры управления риском:

Деятельность ведущего риск-менеджера;

Деятельность отдела управления риском;

Взаимосвязь подразделения с другими структурами предприятия.

К функции риск-менеджера относятся:

Обеспечение безопасности и контроля над риском;

Формирование организационной структуры управления риском на предприятии;

Разработка основных положений и инструкций по управлению рисками.

Основной задачей риск-менеджера и его подразделения является разработка стратегии и принципов управления риском на предприятии, которые должны быть изложены во внутренних нормативных документах, основные из которых – Положение по управлению риском и Руководство по управлению риском.

Положение по управлению риском выражает отношение компании к управлению риском. В нем должны быть изложены ключевые моменты управленческой стратегии предприятия в данной области, разграничены полномочия между различными структурными единицами и т.д.

В отличие от него Руководство по управлению риском – это документ, определяющий конкретные действия. В нем должны содержаться указания на то, каким образом будет решаться каждая конкретная задача управления риском, а также даны ответы на следующие вопросы: кто должен оценивать возможные потери; кто и как должен определять условия страхования; что делать, если произошло событие, приведшее к потерям; как ограничить убытки.

Основными функциями отдела по управлению риском являются: выявление риска; оценка риска; выбор и реализация методов воздействия на риски.

Оценка рисков

С понятием «риск» тесно связаны понятия «ущерб», «убыток». Если риск представляет собой неопределенную возможность потерь, повреждений и уничтожений, то убыток связан с реализацией риска, то есть является материальным, денежным выражением потерь.

Потери, возникающие в процессе предпринимательской деятельности, в зависимости от их принадлежности к конкретному виду используемых предприятием ресурсов, могут быть подразделены на следующие виды: финансовые, материальные, сбытовые, потери времени, морально-психологические, социальные, экологические.

Для того чтобы определить вероятность неблагоприятных событий и возможный размер убытка, проводится оценка рисков.

В системе принципов оценки рисков выделяют три уровня:

1. Методологические принципы , то есть принципы, определяющие концептуальные положения, являющиеся наиболее общими, а главное, не зависящие от специфики рассматриваемого вида риска (однотипность, позитивность, объективность).

2. Методические принципы , то есть принципы, непосредственно связанные с видом деятельности, его спецификой (динамичность, согласованность и др.).

3. Операциональные принципы, связанные с наличием, достоверностью, однозначностью информации и возможностями ее обработки (моделируемость, симплифицируемость).

Методы оценки риска состоят из двух групп: качественные и количественные. Качественные оценки являются наиболее сложными, их главная задача состоит в определении факторов риска, выявлении направлений деятельности и этапов, на которых может возникнуть риск. То есть в результате качественной оценки устанавливаются потенциальные области риска.

Количественный анализ риска дает численное определение размеров отдельных рисков, а также риска всего выбранного направления деятельности.

Риск может определяться как в абсолютных, так и в относительных величинах. Измерение степени риска в абсолютных величинах целесообразно применять при характеристике отдельных видов потерь, а в относительных – при сравнении прогнозируемого уровня потерь с реальным, среднеотраслевым, средним по экономике.

К основным методам оценки рисков относятся статистический, метод анализа целесообразности затрат, экспертные оценки, метод аналогий и др.

Статистический метод является одним из наиболее распространенных. Метод широко применяется в тех случаях, когда при проведении количественного анализа фирма располагает значительным объемом аналитической и статистической информации по необходимым элементам анализируемой системы. Сущность статистического метода оценки степени риска основывается на теории вероятности распределения случайных величин. Это положение означает, что, имея достаточное количество информации о реализации определенных видов риска в прошлых периодах для конкретных видов предпринимательской деятельности, любой субъект хозяйствования способен оценить вероятность реализации их в будущем. Данная вероятность и будет являться степенью риска.

Вероятностный прогноз случайной величины Х, где х 1 , х 2 , …, х n – значения, которые она принимает, представляет собой таблицу следующего вида (таблица 16.3):

Таблица 16.3

Вероятностный прогноз случайной величины

Согласно одной из базовых формул теории вероятности, сумма вероятностей в вероятностном прогнозе должна быть равна единице, что находит свое отражение в формуле:

Исходя из вероятностного прогноза случайной величины по формулам могут быть найдены математическое ожидание (то есть прогноз наиболее вероятного ее значения) и среднее квадратичное отклонение, характеризующее ошибку прогноза:

,

где М (Х) – математическое ожидание;

Х – значения, которые может принимать исследуемый параметр;

Р – вероятность принятия этих значений.

Вероятностный смысл математического ожидания конкретного параметра от проведения предпринимательской деятельности состоит в том, что оно приближенно равно среднему арифметическому его наблюдаемых (возможных) значений.

Экономический смысл среднего квадратичного отклонения с точки зрения теории рисков состоит в том, что оно является характеристикой конкретного риска, которая показывает максимально возможное отклонение определенного параметра от его среднего ожидаемого значения. Причем чем больше величина среднего квадратичного отклонения, тем рискованнее данное управленческое решение и, соответственно, более рискован данный путь развития предприятия.

Однако величина среднего квадратичного отклонения не дает возможности проводить сравнения рискованности направлений деятельности и конкретных ситуаций по признакам (потерям), выраженным в разных единицах.

Устранить данный недостаток можно путем введения коэффициента вариации. Коэффициент вариации – это относительная величина, которая рассчитывается как отношение среднего квадратичного отклонения к математическому ожиданию:

Коэффициент вариации – величина безразмерная и неотрицательная, являющаяся характеристикой риска недостижения в полном объеме поставленных целей. Связь между коэффициентом вариации и уровнем риска представлена в таблице 16.4.

Таблица 16.4

Соответствие уровня риска величине коэффициента вариации

Если нашей целью является достижение случайной величиной Х значения х * , то есть

,

то математическое ожидание абсолютного недостижения цели (АНЦ)будет находиться по формуле:

для всех х i < х * .

Относительное недостижение цели (ОНЦ)может быть найдено по формуле:

.

Очевидно, что чем выше величина относительного недостижения цели, тем выше риск. Повышение показателя ОНЦ свидетельствует об увеличении риска.

Сущность метода анализа целесообразности затрат основывается на том, что в процессе предпринимательской деятельности затраты по каждому конкретному направлению, а также по отдельным элементам имеют разную степень риска.

Так, например, гипотетически занятие игорным бизнесом более рискованное по сравнению с производством хлеба, и затраты, которые несет диверсифицированная фирма на развитие этих двух направлений своей деятельности, будут также отличаться по степени риска. Такая же ситуация сохраняется и с затратами внутри одного и того же направления. Степень риска по затратам, связанным с покупкой сырья (которое может быть доставлено не точно в указанный срок, его качество может не полностью соответствовать технологическим нормам или его потребительские свойства могут быть частично утеряны при хранении на предприятии и т.д.), будет выше, чем по затратам на заработную плату.

Определение степени риска путем анализа целесообразности затрат ориентировано на идентификацию потенциальных зон риска. Это дает возможность выявить «узкие места» в деятельности предприятия с точки зрения рискованности и разработать пути их ликвидации.

Состояние по каждому из элементов затрат должно быть разделено на области риска, которые представляют собой зону общих потерь, в границах которых конкретные потери не превышают предельного значения установленного уровня риска: область абсолютной устойчивости; область нормальной устойчивости; область неустойчивого состояния; область критического состояния; область кризисного состояния.

Таблица 16.5

Области деятельности предприятия с точки зрения устойчивости

Каждая статья затрат анализируется по отдельности на предмет ее идентификации по областям риска и максимальным потерям. При этом степень риска всего направления предпринимательской деятельности будет соответствовать максимальному значению риска по элементам затрат. Преимущество данного метода состоит в том, что, зная статью затрат с максимальным риском, можно найти пути его снижения.

Метод определения степени риска путем экспертных оценок носит более субъективный характер по сравнению с другими методами. Эта субъективность является следствием того, что группа экспертов, занимающаяся анализом риска, высказывает собственные субъективные суждения как о прошлой ситуации, так и о перспективах ее развития.

Наиболее часто данный метод применяется при недостаточном количестве информации либо при определении степени риска такого направления предпринимательской деятельности, которое не имеет аналогов, что также не дает возможности анализировать прошлые показатели.

В наиболее общем виде сущность данного метода состоит в том, что предприятие выделяет определенную группу рисков и рассматривает, каким образом они могут влиять на его деятельность. Это рассмотрение сводится к балльным оценкам вероятности возникновения того или иного вида риска, а также к степени его влияния на деятельность фирмы.

Аналитический метод включает несколько этапов.

На первом этапе осуществляется подготовка к аналитической обработке информации, которая включает в себя:

а) определение ключевого параметра, относительно которого производится оценка конкретного направления предпринимательской деятельности (например, объем продаж, объем прибыли, рентабельность и т.д.);

б) отбор факторов, которые влияют на деятельность фирмы, следовательно, и на ключевой параметр (например, уровень инфляции, политическая стабильность, степень выполнения договоров основными поставщиками предприятия и т.д.);

в) расчет значений ключевого параметра на всех этапах производственного процесса.

На втором этапе строятся зависимости выбранных результирующих показателей от величины исходных параметров. Выбираются основные показатели, которые в наибольшей степени влияют на данный вид предпринимательской деятельности.

На третьем этапе определяются критические значения ключевых параметров. Наиболее просто при этом может быть рассчитана критическая точка производства или зона безубыточности, которая показывает минимально допустимый объем продаж для покрытия издержек фирмы.

На четвертом этапе анализируются полученные критические значения ключевых параметров, факторы, влияющие на них, и определяются возможные направления повышения эффективности и стабильности работы фирмы, а следовательно, и пути снижения степени риска.

Таким образом, преимуществом аналитического метода является сочетание пофакторного анализа параметров, влияющих на риск, и выявления возможных путей его снижения.

Сущность метода использования аналогов состоит в том, что при анализе степени риска определенного направления предпринимательской деятельности целесообразно использовать данные о развитии таких же и аналогичных направлений в прошлом.

Так, если необходимо выявить степень риска по любому инновационному направлению деятельности фирмы, когда отсутствует строгая база для сравнения, лучше знать прошлый опыт, хоть и не полностью соответствующий современным условиям, чем не знать ничего. Метод направлен на то, чтобы выявить сходство в закономерностях развития процессов и на этом основании строить прогнозы. При использовании метода следует различать историческую, литературную и математическую аналогию.

Анализ прошлых факторов риска осуществляется на основании информации, полученной из самых различных источников, таких как публикуемые отчеты компаний о своей прошлой деятельности, сайты и печатные издания государственных организаций, данные страховых компаний и т.д. Полученные таким образом данные обрабатываются с целью выявления зависимостей между планируемыми результатами деятельности фирмы и потенциальными рисками.

Объективная трудность в использовании метода аналогий для оценки степени риска состоит в том, что данные прошлых периодов должны применяться в настоящий момент времени без учета того факта, что любое направление предпринимательской деятельности находится в постоянном развитии. Эта опасность наиболее четко видна при рассмотрении производственных направлений предпринимательской деятельности. Любой продукт проходит несколько жизненных стадий от его разработки до снятия с производства. Поэтому целесообразно сравнение прошлых и современных показателей в границах одной стадии. В противном случае вероятность ошибки при проведении анализа довольно высока.

Методы управления рисками

Все методы воздействия на риск можно разделить на следующие основные группы: отказ от риска, принятие риска на себя, снижение риска, передача риска.

В практике работы компании существуют крупные риски, избежать которых бывает просто невозможно. Эти риски могут быть частично уменьшены, но не ликвидированы полностью. Кроме того, уменьшение таких рисков практически не снижает опасность последствий их реализации. Поэтому целью и сутью использования данного метода управления крупными рисками является создание таких производственно-хозяйственных условий, при которых вероятность возникновения подобных рисков минимизируется.

Принимая решение об отказе от рискованной операции, следует учитывать следующее.

Во-первых, полное избежание риска может быть просто невозможным или маловероятным, особенно для малых фирм.

Во-вторых, предполагаемая прибыль от принятия рискованного решения может значительно превысить возможные потери. В таких ситуациях избежание риска как возможный вариант решения не рассматривается.

В-третьих, избежание одного вида риска может привести к возникновению других видов риска. То есть такой метод управления рисками является эффективным, когда велики вероятность возникновения убытков и возможный размер убытка – избежание рисковых ситуаций в этом случае является наилучшей альтернативой.

Очевидно, что не всегда можно избежать рисков. Чаще всего предприятиям приходится принимать риск на себя. Необходимо обратить внимание на то, что некоторые риски принимаются фирмой на себя, так как содержат возможность получения дополнительной прибыли, другие риски принимаются организацией, так как они неизбежны.

Суть этого метода – покрытие возможных убытков за счет собственных финансовых возможностей компании.Использование данного метода оправдано в следующих случаях:

Частота наступления убытков невысока;

Величина потенциальных убытков невелика.

Убытки при данном методе управления рисками могут покрываться либо за счет текущего денежного потока, либо за счет средств резервных фондов, специально создаваемых для этих целей.

Что касается следующего метода управления, то снижение риска подразумевает уменьшение либо вероятности наступления неблагоприятных событий, либо размеров возможного ущерба.

Суть метода предотвращения убытков состоит в проведении мероприятий, направленных на снижение вероятности их наступления. Применение этого метода оправдано в следующих случаях:

Вероятность реализации риска достаточно велика;

Размер возможного ущерба небольшой.

Использование данного метода связано с разработкой программы превентивных мероприятий, применение которых обосновано только до тех пор, пока стоимость их проведения меньше выигрыша, обусловленного этими мероприятиями.

При составлении плана превентивных мероприятий следует:

Оценить экономическую целесообразность каждого мероприятия;

Уточнить с руководством фирмы и (или) ее специалистами размер средств, которые можно использовать на проведение мероприятий;

Привлечь специалистов для разработки программы мероприятий или получения консультаций по ней, если это необходимо (например, требуются специальные знания);

Получить одобрение со стороны руководства фирмы на проведение превентивных мероприятий;

Корректировать, уточнять и контролировать мероприятия;

Периодически пересматривать комплекс мероприятий.

Суть метода уменьшения размера убытка состоит в проведении мероприятий, направленных на снижение размера возможного убытка. Применение данного метода оправдано в следующих случаях:

Большой размер возможного ущерба;

Вероятность реализации риска невелика.

Возможно использование следующих способов уменьшения размера убытков: сегрегации (разделение) активов, комбинации (объединение) активов и диверсификации.

Разделение активов нередко сокращает размер возмож­ных потерь при наступлении нежелательного события. Суть этого способа заключается в максимальном сокращении возможных потерь за одно событие. Активы могут быть разделены путем физического разделения самих активов по применению или путем разделения активов по собственности.

Комбинация активов также делает потери или выигрыши более предсказуемыми, так как сокращается число подверженных риску единиц, находящихся под контролем одной коммерческой организации.

Комбинация активов может происходить на базе концентрации бизнеса путем внутреннего роста (например, увеличения парка автомобилей). Но может происходить на базе централизации бизнеса, то есть при слиянии двух или более коммерческих фирм (новая коммерческая организация, как правило, будет иметь больше активов, больше работников и т.д.). Стремление к сокращению потерь нередко бывает основной причиной слияния фирм.

Процесс диверсификации активов и их применения понимается в двух аспектах: в широком и узком.

Под диверсификацией в широком смысле понимается расширение сферы деятельности любой организации.

Под диверсификацией производства следует понимать процесс проникновения специализированных предприятий в новые для себя отрасли материального и нематериального производства с целью обеспечения стабильных условий функционирования.

Одним из наиболее удобных и распространенных способов управления рисками является страхование , которое можно отнести к методам уменьшения и передачи рисков.

Суть этого метода управления – снижение участия самой фирмы в возмещении ущерба за счет передачи ею (фирмой-страхователем) страховой компании (страховщику) ответственности по несению риска.

Применение данного метода управления рисками на уровне фирмы оправдано в следующих случаях:

Если вероятность реализации риска, то есть появления ущерба, невысока, но размер возможного ущерба достаточно большой. Независимо от однородности или неоднородности рисков, а также от количества рисков (массовые или единичные) использование страхования в этом случае целесообразно;

Если вероятность реализации рисков высока, но размер возможного ущерба небольшой. Страхование оправдано, если рисков много.

Методы страхования различаются по способу распределения ответственности за риск между сторонами. Различают полное страхование, покрывающее весь конкретный риск, и частичное страхование, которое ограничивает ответственность страховщика, оставляя часть риска страхователю.

Существуют две большие группы методов частичного страхования: пропорциональное и непропорциональное.

Деятельность любого предприятия неразрывно связана с понятием «риск»: банк, в котором вы держите свои денежные средства, может обанкротиться, деловой партнер, с которым заключена сделка, – оказаться недобросовестным, а сотрудник, принятый на работу, – некомпетентным. Не стоит забывать и о стихийных бедствиях, компьютерных вирусах, экономических кризисах и других явлениях, способных нанести урон компании. Вместе с тем рисками можно управлять так же, как процессами производства или закупки материалов.

Для того чтобы компания могла принимать обоснованные решения в условиях неопределенности, она должна выработать политику по управлению рисками. Его следует регламентировать специальным внутренним документом — программой по управлению рисками. Как правило, она включает следующие разделы:

• определение понятия «риск», принятое на предприятии;
• цели управления рисками;
• классификация и подробное описание основных видов рисков, с которыми может столкнуться компания;
• система управления рисками.

Политика по управлению рисками должна быть одобрена и принята высшим руководством или акционерами. Рассмотрим более подробно все разделы этого документа.

Определение понятия «риск»

Каждый финансовый менеджер имеет свое представление о риске, методах его оценки и способах определения его размеров. В толковом словаре русского языка С. Ожегова он определяется как «возможная опасность; действие наудачу в надежде на счастливый исход».

• Личное мнение

  Юрий Костин,

  Риск — это невозможность предсказать наступление того или иного события и его последствий.

  Следует отметить, что понятие трактуется по-разному в зависимости от сферы его обращения. Для математиков риск — это функция распределения случайной величины, для страховщиков — объект страхования, размер возможного страхового возмещения, связанного с объектом страхования. Для инвесторов — это неопределенность, связанная со стоимостью инвестиций в конце периода, вероятность не достичь цели и т. д.

Цели управления рисками

В зависимости от сферы деятельности, деловой среды, стратегии развития и других факторов компания может сталкиваться с различными видами рисков. Тем не менее существуют общие цели, достижению которых должен способствовать эффективно организованный процесс управления ими.

Как правило, основная цель, которую преследуют компании при создании системы управления рисками, — это повышение эффективности работы, снижение потерь и максимизация дохода. По мнению Юрия Костина, основная цель — наиболее эффективное использование капитала и получение максимального дохода. Директор Российского института директоров 1 Игорь Беликов считает, что одна из главных целей — это повышение устойчивости развития компании, снижение вероятности потери части или всей стоимости компании.

• Как наличие системы управления рисками влияет на условия кредитования компании?
• Александр Брычкин, заместитель начальника кредитного управления ОАО АКБ «ЕВРОФИНАНС» (Москва)
• Наличие системы несомненно учитывается при рассмотрении вопроса о предоставлении ему кредита, но влияет на величину процентной ставки опосредованно, через оценку результатов работы этой системы.
• Для оценки эффективности системы банком анализируются, в частности, следующие аспекты деятельности потенциального заемщика:
• . общее количество поставщиков и покупателей, возможность переключиться на работу с другими контрагентами, уровень диверсифицированности закупок и продаж;
• . кредитная политика предприятия, в том числе уровень просроченной дебиторской задолженности;
• . потенциальное влияние изменения валютных курсов на финансовое состояние и результаты заемщика;
• . наличие страховки, покрывающей риски утраты или повреждения имущества предприятия или др., сумма такой страховки;
• . рискованность финансовых вложений предприятия;
• . политика заемщика по управлению производственными запасами.
• Все эти факторы влияют на уровень кредитного риска. Соответственно чем эффективней система управления, тем меньше кредитный риск банка и тем ниже может быть процентная ставка по выдаваемому кредиту.

Классификация основных видов риска

Для достижения вышеуказанных целей необходимо подробно раскрыть суть основных видов риска, с которыми сталкивается организация. Автор предлагает следующую классификацию: кредитные, рыночные, риски ликвидности, операционные, юридические.

Кредитный риск

Под ними подразумевают вероятные потери, связанные с отказом или неспособностью контрагента полностью или частично выполнить свои кредитные обязательства. Доверяя кому-либо свои средства, организация принимает на себя кредитный риск. Например, покупатель может не выполнить обязательства по оплате товаров, после того как они были ему поставлены. Размер ущерба в результате наступления рискового события определяется как стоимость всех непокрытых обязательств контрагента перед компанией в денежном выражении, включая возможные расходы, связанные с возвратом его долга.

Рыночные риски

Они характеризуют возможные потери, возникающие в результате изменения конъюнктуры рынка. Они связаны с колебаниями цен на товарных рынках и обменных курсов валют, курсов на фондовых рынках и т. д. К примеру, компания заключила договор на поставку товаров покупателю через определенное время и зафиксировала в договоре цену поставки. Когда подошел срок исполнения обязательств по договору, покупатель отказался от выполнения условий сделки. К этому времени цена на рынке на этот товар значительно снизилась, в результате из-за реализации товаров по более низкой цене другому покупателю компания понесла убытки.

Рыночным рискам в наибольшей степени подвержены волатильные активы (товары, денежные средства, ценные бумаги и т. д.), так как их стоимость во многом зависит от сложившихся рыночных цен.

Риски ликвидности

Риски ликвидности — вероятность получения убытка из-за нехватки денежных средств в требуемые сроки и, как следствие, неспособность компании выполнить свои обязательства. Наступление такого рискового события может повлечь за собой штрафы, пени, ущерб деловой репутации фирмы, вплоть до объявления ее банкротом. К примеру, организация должна рассчитаться по своим кредиторским обязательствам в течение двух недель, но из-за задержки платежа за отгруженную продукцию она не располагает наличными денежными средствами. Очевидно, что со стороны кредиторов к предприятию будут применены штрафные санкции.

Как правило, риск ликвидности наступает по причине непрофессионального управления денежными потоками, дебиторской и кредиторской задолженностями.

Операционные риски

Под ними подразумеваются потенциальные потери компании, вызванные ошибками либо непрофессиональными (противоправными) действиями персонала, а также сбоями в работе оборудования. В качестве примера можно привести риск выпуска бракованной продукции в результате нарушения технологического процесса. По словам риск-менеджера компании «РУСАЛ-УК» Дениса Камышева, к операционным рискам промышленной организации необходимо относить и так называемые форс-мажорные (например, воздействия природных катастроф).

Базельский комитет по надзору за банковской деятельностью 2 характеризует операционный риск как «риск прямых или косвенных потерь из-за неэффективных или разрушенных внутренних процессов, действий людей и систем».

Юридические риски

Они представляют собой возможные потери в результате изменения законодательства, налоговой системы и т. д. Юридический риск может возникнуть из-за несоответствия внутренних документов компании (клиентов и контрагентов) существующим законодательным нормам и требованиям. К примеру, сделка будет признана недействительной, если договор между организациями оформлен с нарушением юридических норм и правил.

Принципы управления различными видами рисков

Общие принципы

Управление рисками начинается с выявления и оценки всех возможных угроз, с которыми компания сталкивается в процессе своей деятельности. Затем осуществляется поиск альтернатив, то есть рассматриваются менее рискованные варианты осуществления деятельности с возможностью получения тех же доходов. При этом необходимо сопоставлять затраты на реализацию менее рискованной сделки и размеры риска, который удастся снизить. Другими словами, не должно получиться так, что организация избежала риска потерять 100 тыс. долл. США, потратив на это 200 тысяч.

Мнение эксперта

Юрий Костин, риск-менеджер Департамента корпоративных финансов ОАО «Сибнефть» (Москва)

На практике существует много различных классификаций рисков. Помимо кредитных, рыночных, операционных, правовых и других нередко выделяют стратегические и информационные.

Стратегические риски представляют собой опасность убытков из-за неопределенности, обусловленной долгосрочными стратегическими решениями компании.

Под информационными рисками понимают вероятность ущерба в результате потери значимой для компании информации.

После того как риски выявлены и оценены, руководство должно решить, принимать эти их или уклоняться от них. Принятие подразумевает, что компания берет на себя ответственность по самостоятельному предотвращению и ликвидации последствий. Руководство также может уклоняться от рисков, то есть либо избегать видов деятельности, связанных с ними, либо страховать их.

Решение о принятии или уклонении во многом зависит от реализуемой компанией стратегии.. По словам начальника отдела управления рисками ОАО «Магнитогорский металлургический комбинат» Игоря Тарасова, «управление рисками — это не столько разработка мероприятий противодействия факторам риска, сколько изменение системы принятия управленческих решений в организации».

• Личный опыт

  Юрий Костин

  Большинство компаний стремятся сделать управление рисками вспомогательной функцией. Наиболее распространенными видами деятельности подразделения по управлению являются их идентификация и ранжирование. Менее распространено комплексное управление, например разработка стратегии предприятия с учетом соотношения риск—прибыль.

Управление кредитными рисками

При управлении кредитными рисками компания предварительно определяет приемлемый размер потерь, который она может себе позволить (лимит потерь). В том случае, если та или иная сделка характеризуется риском потерь, размер которых превышает установленный лимит, она отклоняется. Тем самым организация регулирует уровень риска по осуществляемым сделкам.

Предполагается, что вероятность дефолта со стороны сразу нескольких покупателей (заемщиков) довольно низка, поэтому в качестве основного показателя рассматривается объем убытков на одного клиента. В мировой практике максимальный размер кредитного риска на одного клиента варьируется в пределах 15—25% от собственного капитала компании. Каждая организация выбирает для себя эту величину в зависимости от отношения к риску. Если у компании большое количество клиентов, то устанавливается граница стоимости сделки, ниже которой предприятие считает нецелесообразным управлять риском.

После определения максимально допустимого размера кредитного риска на одного клиента необходимо оценить вероятность неисполнения каждым конкретным покупателем (заемщиком) своих обязательств. Сделать это можно путем анализа внутренних факторов, влияющих на кредитоспособность клиента, таких как стабильность денежных потоков, величина собственного капитала, кредитная история, качество управления и т. д. Каждому из вышеперечисленных факторов риск-менеджер присваивает определенный вес (оценку значимости показателя в процентах) и балл (качественную оценку). По результатам кредитного анализа составляется сводная рейтинговая таблица, в которой каждому контрагенту присваивается риск-класс (рейтинг кредитоспособности).

Пример 1

Все факторы делятся на внутренние и внешние. Балл группы факторов определяется как сумма произведений оценок факторов и их веса. Так, балл качественных факторов определяется следующим образом: 8х0,25+4х0,15+1х0,5+3х0,2+5х0,15=4,2. При этом качественным факторам присваивается вес 55%.

Аналогично определяются балл и вес количественных, отраслевых и страновых факторов.

Итоговый балл является суммой оценок внешних и внутренних факторов.

Риск-класс устанавливается на основе рассчитанного итогового балла оценки клиента. Каждое предприятие разрабатывает свою шкалу, в которой итоговому баллу соответствует определенный риск-класс. В рассматриваемом случае для итогового балла от 10 до 12 единиц соответствует 4, от 12 до 14 — 5 и т. д.

Затем на основе каждого риск-класса определяется размер кредитных лимитов, который может варьироваться от максимально возможного до нуля.

Таким образом, определенному риск-классу соответствует определенный размер лимита. Чем выше риск-класс, тем ниже вероятность дефолта со стороны покупателя и тем больший кредитный лимит ему будет установлен.

Личный опыт

Андрей Новицкий, риск-менеджер Департамента управления рисками и страхования компании «Аэрофлот»

Оценка эффективности управления кредитными рисками в компании «Аэрофлот» осуществляется на основании двух ключевых показателей:

• соотношение объема убытков от разорений агентов к выручке, получаемой от продажи агентами авиаперевозок (loss/profit);
• соотношение кредитного риска, принимаемого на себя компанией, к выручке, получаемой от продажи агентами авиаперевозок (risk/profit).

В данном случае динамика показателя risk/profit показывает изменение потенциальных потерь, loss/profit — фактических.

Исходя из стратегии, реализуемой на рынке, компания определяет для себя приемлемое соотношение убытков (риска) к получаемому доходу. Если объем убытков превышает установленный компанией уровень либо динамика loss/profit ухудшается, то принимаются меры, направленные как на снижение общего риска и убытков, так и в отношении группы контрагентов с наибольшим кредитным риском.

Основным инструментом для снижения кредитного риска стало использование банковских гарантий при организации продажи авиаперевозок через агентскую сеть. То есть банк гарантирует исполнение части обязательств, принятых на себя контрагентом. Такой подход позволил нам как значительно снизить кредитный риск и потери, так и дать нашим контрагентам удобный инструмент для осуществления взаиморасчетов, поскольку отпадает необходимость в отвлечении из оборота значительных денежных средств на осуществление предоплаты, что в результате стимулирует продажу авиаперевозок.

Рейтинговая таблица

Для эффективного управления кредитными рисками не достаточно установить кредитные лимиты для клиентов — необходимо осуществлять регулярный мониторинг клиентской кредитоспособности, периодически корректировать рейтинговые таблицы и пересматривать установленные лимиты. Делать это целесообразно раз в квартал либо при наступлении любого значительного события, которое прямо или косвенно может повлиять на кредитоспособность клиента.

Управление рыночными рисками

Управление рыночными рисками, как и кредитными, осуществляется с помощью системы лимитов. Иными словами, при реализации продукции, формировании валютного или инвестиционного портфеля вероятные максимальные потери не должны превышать установленных лимитов.

При определении лимитов за основу берется максимально допустимый единовременный размер потерь, который не повлечет за собой нарушения нормальной деятельности компании. Размер возможных потерь по конкретному активу компании (готовая продукция, валютные портфели, инвестиционные портфели и т. д.), подверженному влиянию рыночного риска, может быть определен как на основании «исторического» анализа, так и путем экспертных оценок.

При управлении рыночными рисками можно установить следующие виды лимитов:

• на сумму сделки по приобретению или реализации продукции, если она заключается на таких условиях, при которых результат ее проведения зависит от колебания рыночных цен;
• на размер валютной составляющей активов, которые снижают вероятность по-терь в случае изменения курса какой-либо валюты;
• на совокупный размер собственного инвестиционного портфеля компании.

Пример 2

Окончательный размер лимита корректируется высшим руководством исходя из стратегии развития, наличия свободных денежных средств и отношения компании к риску.

Необходимо также регулярное проведение так называемых стресс-тестингов, то есть моделирование последствий наиболее неблагоприятных событий. К примеру, моделируется ситуация значительного роста цен на сырье и материалы и проводится анализ последствий такого роста для предприятия, делаются выводы и разрабатываются соответствующие меры.

Управление рисками ликвидности

Основой управления является анализ планируемых денежных потоков компании. Данные о сроках и размерах поступлений и выплат при составлении бюджета движения денежных средств корректируются с учетом выявленных рисков. Например, при выявлении кассовых разрывов менеджмент организации должен ликвидировать их путем перераспределения денежных потоков либо запланировать получение краткосрочного кредита или займа на покрытие таких разрывов.

Управление операционными рисками

Операционные риски неразрывно связаны с деятельностью предприятия, и управляют ими, как правило, руководители структурных подразделений. К примеру, начальник производственного подразделения контролирует изношенность оборудования и определяет необходимые мероприятия для предотвращения сбоев, связанных с выходом из строя оборудования. По мнению Андрея Новицкого, служба по управлению рисками не может и не должна полностью заменять ту часть работы, которую фактически осуществляют другие структурные подразделения компании в процессе своей ежедневной деятельности. Риск-менеджер не только сам управляет рисками, но и помогает в этом другим менеджерам.

• Личный опыт

  Михаил Рогов, риск-менеджер автопромышленного холдинга «РусПромАвто» (Москва), член GARP (Global Association of Risk Professionals), член Правления российского отделения PRMIA (The Professional Risk Managers International Association), канд. экон. наук, доцент

  В отличие от инвестиционных и банковских учреждений на промышленных и торговых предприятиях преобладают операционные риски. Управление рисками осуществляет руководство — генеральный и финансовый директора, главный бухгалтер, а при постепенном росте компании функции по управлению ими распределяются между службами безопасности, юридическим отделом, контрольно-ревизионными службами или отделом внутреннего аудита. В любом случае вопросы управления рисками должны контролироваться топ-менеджерами, финансовым директором или представителями собственника.

  Принципы управления операционными рисками аналогичны способам управления другими видами: выбор критерия управления, их идентификация и измерение, а также проведение мероприятий по их оптимизации. В процессе анализа операционных рисков могут использоваться «деревья вероятностей», то есть детальные сценарии возможных исходов событий, которые помогают рассчитать количественные оценки рисков.

  Для управления операционными рисками необходимо контролировать сигналы. В качестве таких сигналов могут выступать и служебные записки об осложнившейся обстановке на каком-либо участке, о частых поломках различных узлов одного и того же станка, свидетельствующие о высокой вероятности его выхода из строя.

Управление юридическими рисками

Оно основано на формализации процесса юридического оформления и сопровождения деятельности компании. Для того чтобы минимизировать юридические риски, любые бизнес-процессы, подверженные им (например, заключение договора поставки), должны проходить обязательную юридическую проверку.

Для минимизации их при осуществлении большого количества одинаковых операций целесообразно использовать типовые формы документов, разработанные юридическим отделом.

• Личный опыт

  Михаил Рогов

  Одна из задач риск-менеджера в процессе управления любыми рисками — отслеживать их концентрацию. Так, для управления юридическими рисками следует ежемесячно запрашивать у юридического отдела реестр незакрытых юридических дел, исков и проблем с указанием «цены вопроса». Таким образом, у менеджера будет не только информация о проблемах, но и данные о возможных убытках из-за несвоевременного решения этих проблем. Для снижения юридических рисков в компании необходима отлаженная процедура прохождения документов (визирование и согласование), а также разделение полномочий ответственных сотрудников.

Организации управления рисками

По мнению Игоря Тарасова, успех программы во многом зависит от правильной организации службы управления рисками и разграничения полномочий по оценке, управлению и контролю рисков между подразделениями. Осуществлять эффективное управление, описанное выше, должно специальное подразделение или сотрудник (риск-менеджер). В обязанности подразделения по управлению рисками входит:

• разработка детального плана управления рисками;
• сбор информации о рисках, которым подвержена организация, их оценка и ранжирование, а также информирование о них руководства;
• консультирование подразделений компании по вопросам управления рисками.

Важным моментом является разграничение полномочий риск-менеджера и топ-менеджмента компании или собственников бизнеса. Как правило, полномочия разделяются в зависимости от величины наиболее вероятных потерь в случае наступления рискового события или размера лимита. К примеру, лимит, не превышающий 10 тыс. долл. США, может быть утвержден риск-менеджером, а лимит свыше этой суммы — финансовым директором.

Для обеспечения непрерывности бизнес-процессов при отсутствии или недостаточности какого-то лимита в программе по управлению рисками необходимо прописать полномочия соответствующих лиц (а также лиц, замещающих их в случае отсутствия) на одобрение превышения лимитов, сроки ответа на запрос о превышении лимитов, формы соответствующей заявки и т. д.

Также необходимо определить место подразделения по управлению рисками в организационной структуре предприятия и принципы его взаимодействия с другими подразделениями.

Приступая к разработке политики по управлению рисками, необходимо быть готовым к кропотливой и сложной работе, в процессе которой предстоит тесно взаимодействовать с различными структурными подразделениями компании. Поэтому руководители всех служб должны хорошо понимать цели разработки системы управления рисками.

«Создание системы риск-менеджмента позволит обеспечить стабильность бизнеса и максимизировать прибыль»

Интервью с начальником Управления анализа кризисных ситуаций и рисков компании «Норильский никель» Шамилем Курмашовым

— На мой взгляд,он должен выявлять и анализировать возможные проблемы предприятия, а также определять, в какой области искать пути их решения (математика, экономика, логика). Основны его задачи — обеспечение руководства объективной и полной информацией о ее бизнес-позиционировании, разработка эффективных управленческих решений, направленных на предотвращение кризиса или минимизацию воздействия риск-факторов, что реализуется в корпоративной системе управления рисками.— Какие задачи решает риск-менеджер?

— Для чего разрабатывается система управления рисками?

— Основная цель — это обеспечение оптимального для акционеров и инвесторов баланса между максимизацией прибыли и долгосрочной стабильностью бизнеса. Я считаю, что для достижения этой цели основой системы управления рисками должны стать принципы комплексности, непрерывности и интеграции.

Принцип комплексности подразумевает взаимодействие всех подразделений компании в процессе выявления и оценки рисков по направлениям деятельности. При этом передача функций управления подразделению, риски которого контролируются, может нейтрализовать положительный эффект от внедрения процедур управления ими. Например, отдел сбыта не должен устанавливать лимиты на кредитование покупателей. Такая ситуация создает массу возможностей для злоупотреблений и аналогична той, когда человек сам у себя спрашивает разрешение и сам себе его дает.

Не менее важным принципом системы управления рисками предприятия является непрерывность, то есть постоянный мониторинг и контроль рисков предприятия. Это необходимо, поскольку условия, в которых работает предприятие, постоянно меняются, появляются новые риски, которые тоже требуют тщательного анализа и контроля.

Также следует соблюдать принцип интеграции, то есть оценивать интегральный риск компании — давать взвешенную оценку воздействия на бизнес всего спектра рисков, начиная от вероятного снижения цен на продукцию и заканчивая возможным ущербом от технологических аварий. На его наличие может указывать неустойчивость ключевых показателей деятельности организации: прибыль, денежный поток и т. д. Этот принцип позволяет учесть взаимосвязь отдельных рисков. Как показывает практика, выявление таких связей между рисками дает возможность сформировать более взвешенную оценку ситуации и соответственно оптимизировать потребность в объеме средств, необходимых для обеспечения сбалансированной непрерывной деятельности компании.

Помимо этого руководство, как правило, интересует, на сколько может снизиться, например, денежный поток от основной деятельности по сравнению с принятым на год планом и что нужно предпринять для устранения негативного эффекта. Для ответа на этот вопрос нужно оценить все риски компании и в первую очередь интегральный.

— Какие шаги необходимы для построения системы риск-менеджмента?

— Основываясь на опыте нашей компании, могу выделить следующие этапы.

Во-первых, путем анализа бизнес-процессов организации следует выявить риски и отразить их на специальной карте 3 . При анализе бизнес-процессов важно учитывать производственную специфику, уникальность вспомогательных и обеспечивающих производств, а также географическое расположение подразделений компании, так как эти факторы в значительной степени влияют на характер рисков.

Во-вторых, нужно создать и внедрить систему текущего мониторинга рисков, основанную на системе операционных риск-индикаторов в разрезе всех направлений деятельности компании.

В-третьих, необходимо разработать принципы оценки и прогнозирования рисков и протестировать их на достоверность методом бэк-тестинга, который заключается в следующем. К реальным историческим данным применяются разработанные принципы оценки и прогнозирования, а полученные результаты сопоставляются с реальными событиями, произошедшими в компании. На основании такого сопоставления делается вывод об адекватности системы.

В-четвертых, разрабатываются системы управления рисками, позволяющие осуществлять профилактику их возникновения. Создаются кризис-сценарии — алгоритм действий подразделений в кризисных ситуациях. Хочу отметить, что не следует смешивать риск-менеджмент и кризис-менеджмент. Если риск — это возможность наступления какого-нибудь события, то кризис — результат уже состоявшегося события.

И наконец, в-пятых, следует отслеживать, насколько хозяйственная деятельность предприятия с учетом внедрения системы риск-менеджмента соответствует стратегическим целям, определенным руководством предприятия (приводить параметры хозяйственной политики в соответствие с принятой стратегией).

В итоге сотрудники, которые занимаются созданием системы риск-менеджмента, должны выработать четкую политику по управлению рисками, которая обеспечит прозрачность, устойчивость и непрерывность бизнеса.

Беседовал Александр Афанасьев

__________________________________________
1 Некоммерческое партнерство «Российский институт директоров» учреждено в ноябре 2001 года ведущими компаниями - эмитентами России. Учредителями партнерства стали ОАО «СУАЛ-ХОЛДИНГ», ОАО «Горно-металлургическая компания «Норильский никель», ОАО «Объединенные машиностроительные заводы (Группа «Уралмаш-Ижора»)», ОАО «Сургутнефтегаз», ОАО «НК «ЮКОС». Цель института - разрабатывать и внедрять классификационные и профессиональные стандарты деятельности корпоративных директоров, формировать эффективную российскую модель корпоративного управления. - Примеч. редакции.
2 Базельский комитет по надзору за банковской деятельностью (Basel Commitee on Banking Supervision) - совещательный орган, созданный в 1975 году и объединяющий представителей органов банковского надзора и центральных банков тринадцати развитых государств. - Примеч. редакции.