Результат управления рисками — это гарантия качества вашей продукции, соблюдения нормативных требований, получения стабильной прибыли, а значит - гарантия нашей стабильности.
Управление рисками возникает при потребность в принятии сложных решений. Оценивать риски необходимо на этапах разработки продукта, при изучении целесообразности внесения изменений, при расследовании отклонений, для организации рабочего пространства или при принятии решения о возможности совмещения схемы производства разных препаратов и т.п., то есть там, где есть, проблема выбора из нескольких вариантов и нет однозначных нормативных требований.
Процесс управления рисками - это источник требований. Правила – это программа минимизации известных рисков, связанных с производством. Предотвращение перекрестного загрязнения, перепутывания или подмены, правила гигиены и допуска персонала к самостоятельной работе, выбор стратегии контроля качества и поддержание системы качества – все это лишь несколько классических примеров из области управления рисками.
Многие руководители считают, что они видят полную картину своих процессов и интуитивно чувствуют риски для качества выпускаемой продукции. Профессиональные, талантливые менеджеры обладают потрясающей интуицией, только она не врожденная. Ее нежно развивать и усиливать, используя методологию управления рисками. Интуиция – это подсознательный анализ различных вариантов развития тех или иных событий. Хорошая интуиция – это «стихийная» оценка рисков в голове отдельно взятого человека «что может случиться?», «если это случится, какие будут последствия?» и «из-за чего это может произойти»? А осознанное применение процесса управления рисками – объективная корпоративная культура, слабо зависящая от субъективных факторов. Более того, это тиражируемая и легко распространяемая технология.
Выявление рисков для качества и их оценка сами по себе не приносят результата. Результат управления рисками заключается в выборе и реализации стратегии контроля значимых рисков. Задача в принятии правильных, сбалансированных решений. Возможно рискованных, но осознанных.
Риски для качества продукции – это риски для потребителя. Безопасность основана на современных подходах к управлению рисками. Единственный способ обеспечить безопасность – это внедрить эффективную систему управления рисками для качества. Это элемент ответственности перед обществом. Безопасность не означает отсутствие опасности. Безопасное состояние – это когда производитель уверен в том, какие опасные события могут произойти и какое влияние они окажут на качество работы, продукции и, как следствие, на потребителя. Безопасность заключается не в запретах, замках и колючей проволоке, а в разработке эффективных процедур, призванных эту безопасность обеспечить. Если не будет возможности предотвратить опасность, то как минимум возникает возможность подготовиться, заранее продумать меры по предотвращению и преодолению их последствий.
Опасности измеряются рисками. Риски различаются по значимости. Для того чтобы понять, какие риски требуют особого внимания, необходимо адекватно их оценить. Не изучая природу возможных рисков, не определяя объем отсутствующей информации, нет возможности понять, из-за чего тот или иной риск может реализоваться, и, соответственно, вряд ли удастся снизить вероятность его наступления. Рисками нужно управлять систематически и профессионально. Это неотъемлемая и необходимая компетенция любого руководителя любого уровня на любом предприятии.
Управление рисками – это всего лишь броское название и невероятно вредная технология, применимая только «кабинетными» людьми. Персонал любого подразделения можно разделить на две категории: руководители и исполнители. Исполнители выполняют работы, исходя из установленных требований. Руководители же устанавливают требования к выполнению таких работ с учетом законодательных норм, прописывают алгоритмы и создают условия, в последующем контролируя качество их исполнения. В большинстве случаев исполнителю оценка рисков не нужна. Она нужна руководителям. Нужна там и тогда, где и когда они вынуждены принимать важные и сложные решения в условиях неопределенности, например: нет законодательных требований или эти требования изложены без конкретных алгоритмов их реализации, или есть несколько вариантов реализации и при этом нет уверенности какой из вариантов выбрать. Руководители несут ответственность не только за результаты своей работы, но и за результаты работы исполнителя. Чем выше неуверенность, вызванная неопределенностью, тем выше ответственность за последствия реализации принимаемого решения. На основании того, как руководитель управляет рисками, можно делать вывод о его профессионализме. Если руководитель умело применяет эту методологию, он производит впечатление человека проницательного, с замечательной логикой и интуицией. Именно эти качества развивает технология управления рисками. К тому же, такой руководитель понимает причинно-следственную связь, что ошибка исполнителя часто вызвана халатностью его руководителя, которая проявляется в том, что он не до конца оценил все возможные угрозы.
Часто мы оказываемся в ситуациях, когда сложно или страшно, принимать решение, когда возникает ощущение неопределенности и непредсказуемости в отношении того, как наше решение повлияет на качество продукта, а значит на безопасность клиента. И тогда может показаться, что риски – это то, что от нас не зависит. Или наоборот, самонадеянно полагаться на то, что риск полностью исключен, но это не так. Любое отклонение, сбой в работе инженерной системы или оборудования, поступившая претензия, сигнал – это реализовавшийся риск. Можно не регистрировать отклонения и возникающие проблемы, тем самым подтверждая надежность своих процессов, но это фарс, риски есть и будут. Главное – вовремя увидеть угрозы и просчитать «непредвиденные обстоятельства», при которых они могут реализоваться, понять, что можно сделать, чтобы этого не случилось и что делать, если это все же произойдет. Сделать максимум и быть готовым к любому развитию событий.
Если вы находитесь в сложной ситуации, вам необходимо понимать возможные угрозы и их последствия, просчитывать заранее, каким образом действовать при том или ином развитии событий, быть готовым ко всему. Управление рисками улучшает предсказуемость и определенность. Это честно заработанное чувство уверенности. Это, безусловно, подход, обеспечивающий достаточную защиту потребителя, которая, в свою очередь, не мешает получению прибыли и не замедляет развитие предприятия.
Основные принципы управления рисками для качества изложены в руководящих указаниях. Необходимость управления рисками заявляется в различных руководящих указаниях, издаваемых регуляторными агентствами, профессиональными сообществами (например, ISPE, PDA, IEST) и организациями здравоохранения по всему миру. В основу предложенной методологии положены знания и опыт, накопленные в разных странах. Модель процесса управления рисками, представленная в руководящих указаниях, проста в применении и, главное, ориентирована на практическое использование.
В управлении рисками, как и в любой технологии, нюансов и деталей достаточно. Для корректного ее использования, необходимо создать внутренние стандарты и процедуры, провести обучение руководителей и вовлекаемых экспертов, осуществлять постоянный надзор за качеством проводимой оценки.
Попытки исключить технологию управления рисками из процесса принятия эффективных решений недопустимы. Оценка риска должна основываться на современных научных достижениях, на известных фактах и с учетом накопленной экспериментальной базы и т.п.
Все пробелы в знаниях и данных необходимо отнести к отдельной категории риска, так называемой «отсутствующей информации». Так же нельзя возводить методологию управления рисками в статус «нормативного требования». Техника принятия решений по определению не может быть нормативным требованием. Управление рисками не направлено на обход нормативных требований так же, как управление рисками не является прямым нормативным требованием. Правила декларируют необходимость управления рисками только для того, чтобы подчеркнуть их первостепенное значение и взаимосвязь с системой качества и правилами надлежащего производства и контроля качества. Необходимость проведения оценки рисков возникает в следующих ситуациях:
Когда возникает потребность в принятии сложных решений, не вступающих в конфликт с нормативными требованиями, от эффективности принимаемых руководителем управленческих решений зависят успешное функционирование и выживаемость предприятия. Учитывать нужно и тот факт, что помимо очевидных преимуществ процесс управления рисками имеет серьезные недостатки:
Преимущества:
- Повышение уверенности в принимаемых решениях
- Устранение конфликта интересов
- Сохранение знаний и логики принимаемых решений
- Неформальный процесс передачи знаний
- Улучшение исполнительской дисциплины
Недостатки:
- Большая трата времени
- Отвлечение специалистов от прямых рутинных обязанностей
- Принятие поверхностных решений
- Манипулирование сознанием
- Самообман
Постановка задачи – исключать только риски, которые обозначены в нормативных документах не верна. Нормативные документы – это некое усредненное восприятие известных рисков. На каждом производстве своя специфика, свои процессы, и нормативные требования ее не учитывают.
Также не стоит задача управлять всеми рисками. Не нужно стремиться к тотальному контролю. Необходимо определять наиболее опасные риски и разрабатывать адекватные и своевременные меры управления ими. Даже не в самой масштабной оценке можно выявить десятки, даже сотни, самых разнообразных рисков. Такое количество рисков может привести в замешательство любого специалиста, поскольку непонятно, что с ними делать и за что браться в первую очередь. Конечно, устранить все риски хорошо, но чаще всего сделать это невозможно. Наши ресурсы, как и денежные средства, всегда ограничены, соответственно мы вынуждены выбирать приоритеты. Интуитивно понятно, некоторые риски требуют первоочередных решений, а отдельные вообще нам не интересны. Для определения приоритетных действий необходимо установить элементы риска – уровень его воздействия и вероятность реализации. Если опасность реализуется, она может оказывать разное воздействие, которое во многом определяет тяжесть риска. Так же, как оценка вероятности наступления того или иного негативного события может сообщить нам о многом. Знание того, с какой вероятностью может реализоваться та или иная опасность, предопределяет восприятие безопасности.
По определению, риск – это сочетание вероятности реализации той или иной опасности и тяжести наносимого ею вреда. Используя два критерия оценки риска, речь не идет об усреднении риска. Вероятность учитывается для того, чтобы отсечь невероятные, нереальные события. Учитывая вероятность приоритеты расставляются исходя из уровня их воздействия. Аксиома управления рисками – тяжесть вреда имеет больший приоритет над вероятностью.
Рассмотрим пример, с самолетом используя пятибалльную шкалу (от 1 до 5), ошибкой можно считать неправильную градацию риска при использовании количественной оценки:
Неопасное событие - опоздание прибытия самолета (тяжесть вреда равна 1), но часто повторяемое (вероятность равна 5).
Опасное событие - авиакатастрофа (тяжесть вреда равна 5), но крайне редкое (вероятность равна 1).
Перемножение весовых коэффициентов дает одну и ту же цифру 5, но при этом не уравнивает их значимости. Первое событие – это незначительный риск, а второе событие может ранжироваться как значимый риск (из-за того, что коэффициент тяжести вреда превышает некий заданный порог, например, 2), а значит потребует пристального внимания и разработки программы контроля такого риска, обеспечивая постоянный мониторинг ее эффективности. Программа контроля риска может быть разной – от одного действия до отдельного комплексного плана.
Внедрение процесса управления рисками в повседневную жизнь предприятия не требует инвестиций и не подразумевает внедрения каких-то сложных систем и моделей. Достаточно сделать несколько шагов, всего пять.
Первый шаг – необходимо видеть и четко определять опасности (угрозы). Часто это делается бессознательно - эмпирически. Этого недостаточно. Полностью определить риски означает учесть все его параметры.
Второй шаг – нужно научиться создавать профили рисков, то есть систематически определять все риски, присущие объекту нашей оценки. Это то, что называется протоколом оценки рисков. Должен быть документ, в котором все риски определены. Важно, управлять рисками «точечно».
Задача третьего шага в том, чтобы определять, с какими рисками нужно работать в первую очередь. Для этого нужно уметь анализировать риски, уметь расставлять приоритеты.
Для успешной реализации четвертого шага нужно уметь выбирать и реализовывать стратегии управления значимыми рисками. Важно понимать, какие конкретные действия необходимо совершить, чтобы больше получить и/или меньше потерять.
И наконец, пятый шаг – создавать оптимальную «подушку» безопасности, то есть разрабатывать план действий на случай, если тот или иной риск реализуется. Задача этого шага – уметь подготовиться к любому развитию событий и всегда иметь план «Б».
Это базовые шаги, применимые в любой ситуации, в любом бизнесе и на любом уровне иерархии предприятия. Международный стандарт ISO 31000 нашел свое применение в большинстве стран мира.
Сегодня для внедрения процесса управления рисками в практику, накоплена серьезная методологическая база, которая активно развивалась с 1960-х. Известно более 100 методов оценки рисков. В руководящих указаниях ISO 31000 описан 31 метод, в жизни их еще больше. Однако это не означает, что необходимо использовать каждый. Нужно подобрать те инструменты оценки рисков, с которыми Вы можете работать и которым Вы будете доверять. Главное, чтобы они были Вам понятны.
Вывод.
Чтобы научиться профессионально управлять рисками, нужно «набить руку» и накопить определенный опыт - это требует усилий и времени. Сначала в большей степени, потом – в меньшей. Главное - начать постепенно внедрять технологию управления рисками в свою работу. Для ее применения абсолютно не нужно выделять какой-то особенный день, ждать какого-то события или настроения. Управляя рисками, мы обеспечиваем качество своей работы и, наоборот, – обеспечивая качество, мы управляем рисками. Результат управления рисками – это гарантия качества Вашей продукции, гарантия соблюдения нормативных требований, гарантия стабильной прибыли, а значит – гарантия нашей стабильности.
1. Общие положения
Риск это влияние неопределенности на достижение целей.
Любое управленческое решение принимается в условиях риска, вызванного неполнотой информации об объекте управления и окружающей его среде и ограничением времени на его принятие. Среда принятия решений варьируется в зависимости от степени риска. Условия определенности существуют только тогда, когда руководитель точно знает результат, который будет иметь каждый выбор. В условиях риска вероятность результата каждого решения можно определить только с известной достоверностью. Если информации недостаточно для прогнозирования уровня вероятности результатов в зависимости от выбора, условия принятия решения являются неопределенными. В условиях неопределенности руководитель на основе анализа рисков должен установить допустимость возможных рисков и их последствий.
Управление и риск не отделимы. Риски управления организацией это риски целеполагания, маркетинга и менеджмента организации.
Риск целеполагания - это возможность неправильного определения целей организации. При неправильно определенных и поставленных целях деятельность организации не может быть успешной.
Риск маркетинга - это возможность отклонений в результатах деятельности организации при неправильном определении неопределенностей рыночных условий – выборе ниши и позиционировании организации и ее продукции на рынке.
Риски менеджмента - это возможность неправильных действий в процессе достижения поставленных целей.
Риск менеджмент явно или не явно изначально присутствует во всех стандартах на системы менеджмента минимум как предупреждающие действия.
В риск-менеджменте принято выделять несколько ключевых этапов:
Выявление риска, его анализ и оценка вероятности его реализации и масштаба последствий;
Выбор методов и инструментов управления выявленным риском;
Разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
Реализация риск-стратегии;
Оценка достигнутых результатов и корректировка риск-стратегии.
Место возникновения рисков:
Общая классификация рисков:
Виды рисков по роду опасности:
Виды рисков по сферам проявления:
Виды рисков по возможности предвидения:
Соответственно этому классификационному признаку риски подразделяются также на регулируемые и нерегулируемые в рамках предприятия.
Виды рисков по источникам возникновения:
Виды рисков по размеру возможного ущерба:
Виды рисков по комплексности исследования:
Виды рисков по финансовым последствиям:
Виды рисков по характеру проявления во времени:
Виды рисков по возможности страхования:
Состав рисков этих рассматриваемых двух групп очень подвижен и связан не только с возможностью их прогнозирования, но и с эффективностью осуществления отдельных видов страховых операций в конкретных экономических условиях при сложившихся формах государственного регулирования страховой деятельности.
Виды рисков по частоте реализации:
2. Общие принципы анализа рисков
Для определения источников риска и его видов необходимо наличие надежного информационного обеспечения. Вся информация о характеристиках отдельных рисков может быть получена из различных источников: разовых и постоянных, официальных и неофициальных, приобретенных и полученных, достоверных и сомнительных, и так далее. В то же время, информация, используемая в риск-менеджменте, должна быть максимально достоверной, полноценной и своевременной. Источниками информации для определения рисков могут быть:
1. Внешние:
2. Внутренние:
Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный. Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска организации в целом.
Процесс анализа рисков охватывает различные аспекты работы с риском, от идентификации и анализа опасности до оценки допустимости риска и определения потенциальных возможностей снижения риска посредством выбора, реализации и контроля соответствующих управляющих действий.
Анализ риска представляет собой структурированный процесс, целью которого является определение, как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы. В качестве неблагоприятных последствий рассматривается вред и убытки, наносимый людям, имуществу или окружающей среде.
Посредством проведения анализа риска предпринимаются попытки ответить на три основных вопроса:
что угрожает (идентификация опасности);
с какой вероятностью это может произойти (анализ частоты);
каковы последствия этого события (анализ последствий).
Результаты анализа риска могут использоваться руководителями, принимающим решение при оценке допустимости риска, а также при выборе между потенциальными мерами по снижению или устранению риска. С точки зрения принимающего управленческое решение, к основным достоинствам анализа риска относятся:
систематическая идентификация потенциальных опасностей;
систематическая идентификация возможных видов отказов;
количественные оценки и/или качественное ранжирование рисков;
выявление факторов, обуславливающих риск, и слабых звеньев в системе;
более глубокое понимание устройства и функционирования системы;
достижения предпочтительных уровней надежности системы управления;
сопоставление риска исследуемой системы с рисками альтернативных систем или технологий;
идентификация и сопоставление рисков и неопределенностей;
помощь в установлении приоритетов при совершенствовании требований и норм;
формирование базы для рациональной организации профилактического обслуживания, ремонта и контроля;
обеспечение возможности поставарийного расследования и мер по предупреждению аварий;
возможность выбора мер и приемов по обеспечению снижения риска.
Анализ риска является частью оценки риска и процесса управления риском, и состоит из определения области применения, идентификации опасности и оценки величины риска.
Общей задачей анализа риска является обоснование решений, касающихся риска. Эти решения могут приниматься как часть более крупного процесса управления рисками посредством сопоставления результатов анализа риска с критериями допустимого риска.
Анализ рисков должен быть направлен на выявление и устранение, и/или снижение до допустимого уровня риска, угрожающего деятельности организации путем сбалансированное распределение ресурсов и реального контроля рисков и снижения их степени.
Для повышения эффективности и объективности анализа риска и обеспечения сопоставимости с другими результатами по анализу риска необходимо соблюдать следующие общие правила, - процесс анализа риска должен осуществляться в соответствии со следующими этапами:
а) определение области применения;
б) идентификация опасности и предварительная оценка последствий;
в) оценка величины риска;
г) проверка результатов анализа;
д) документальное обоснование;
е) корректировка результатов анализа с учетом последних данных.
Оценка риска включает проведение анализа частот и анализа последствий.
Возможный порядок проведения анализа риска приведен на схеме:
Необходимым требованием анализа и оценки риска является скрупулезное знание системы и используемых методов анализа. В том случае, если имеются результаты анализа риска для похожей системы, они могут быть использованы в качестве справочного материала. При этом необходимо доказать, что процессы являются похожими, и что внесение изменений не вносит существенных различий в результаты. Выводы должны основываться на систематической оценке изменений и на том, каким образом они могут влиять на существующие опасности.
Аналитики, участвующие в анализе риска, должны быть достаточно компетентными. Зачастую анализируемая система слишком сложна для работы одного человека, поэтому для выполнения анализа требуется группа аналитиков.
Аналитики должны знать методы, используемыми для анализа риска и должны располагать достаточными знаниями о системе и ее рисках. При необходимости для проведения анализа должны быть представлены и использованы другие необходимые сведения. Заключение специалистов рабочей группы должно быть документально зафиксировано.
Если анализ риска используется для обеспечения непрерывного процесса управления риском, его необходимо выполнять и документировать таким образом, чтобы он мог корректироваться на протяжении всего жизненного цикла системы или деятельности. Анализ должен обновляться по мере поступления новой информации и в соответствии с потребностями процесса управления.
Для выработки плана анализа риска область применения анализа риска должна быть определена и документально установлена. Определение области применения анализа риска должно включать в себя следующие этапы:
а) Описание оснований и/или проблем, повлекших проведение анализа риска.
Это предусматривает:
формулировку задач анализа риска, основанных на внушающих тревогу идентифицированных потенциальных опасностях;
определение критериев работоспособности/отказа системы.
б) Описание исследуемой системы. Это должно включать в себя:
общее описание системы;
определение границ и областей контакта со смежными системами;
описание условий окружающей среды;
определение рабочих условий и состояний системы, на которые распространяется анализ риска, и соответствующие ограничения.
в) Установление источников, предоставляющих подробную информацию обо всех технических, связанных с окружающей средой, правовых, организационных и человеческих факторах, имеющих отношение к анализируемым действиям и проблеме. В частности, должны быть описаны любые обстоятельства, касающиеся безопасности.
г) Описание используемых предположений и ограничивающих условий при проведении анализа.
д) Разработка формулировок решений, которые могут быть приняты, описание требуемых выходных данных, полученных по результатам исследований и от лиц, принимающих решения.
Задача по определению области применения анализа риска должна предусматривать тщательное ознакомление с анализируемой системой. Одна из целей ознакомления - это определение источников и методов использования специализированной информации.
Элементы процесса оценки величины риска являются общими для всех видов опасности. Прежде всего, анализируются возможные причины опасности с целью определения частоты ее возникновения, продолжительности, а также характера.
В процессе анализа может возникнуть необходимость определения оценки вероятности опасности, вызывающей последствия, и проведения анализов последовательности обуславливающих событий.
3. Качественный анализ рисков
Для решения поставленной задачи должны быть идентифицированы опасности, являющиеся причиной риска, а также пути, по которым эти опасности могут реализовываться.
Известные опасности должны быть четко и точно определены. Для идентификации опасностей, не учитываемых ранее при проведении анализа, должны применяться формальные методы.
Предварительную оценку значения идентифицированных опасностей необходимо выполнять, основываясь на анализе последствий и изучении их основных причин.
Предварительная оценка значения идентифицированных опасностей определяет выбор последующих действий:
а) принятие немедленных мер с целью исключения или уменьшения опасностей;
б) прекращение анализа, поскольку опасности или их последствия являются несущественными;
в) переход к оцениванию риска.
Исходные допущения и результаты должны быть документально зафиксированы.
Идентификация опасности предполагает систематическую проверку исследуемой системы с целью идентификации типа присутствующих неустранимых опасностей и способов их проявления. Статистические записи о действии рисков и опыт предшествующих анализов риска могут обеспечить полезный вклад в процесс идентификации опасности. Следует признать, что существует элемент субъективизма во мнениях об опасностях и что идентифицированные опасности не всегда могут быть в исчерпывающей мере теми опасностями, которые могли бы представлять угрозу для системы. Необходимо, чтобы идентифицированные опасности подвергались пересмотру при поступлении новых данных. Методы идентификации опасности в широком смысле делятся на три категории:
а) сопоставительные методы, примерами которых являются ведомости проверок, индексы опасностей и обзор данных эксплуатации;
б) фундаментальные методы, которые построены таким образом, чтобы стимулировать группу исследователей к использованию прогноза в сочетании с их знаниями по отношению к задаче идентификации опасностей путем постановки ряда вопросов типа «А что, если... ?»;
в) способы индуктивного подхода, такие как логические диаграммы возможных последствий данного события (логические диаграммы «дерева событий»).
С целью усовершенствования идентификации опасности (и возможностей оценки риска) применительно к определенным проблемам могут использоваться другие приемы.
Независимо от применяемых приемов важно, чтобы в общем процессе идентификации опасности должное внимание было уделено тому, что человеческие и организационные ошибки являются существенными факторами во многих аварийных ситуациях. Отсюда следует, что сценарии аварийной ситуации, предусматривающие человеческую и организационную ошибку, также должны быть включены в процесс идентификации опасности, который не должен быть направлен исключительно на технические аспекты.
На практике идентификация опасности, исходящей от конкретной системы, оборудования или деятельности, может давать в качестве результата очень большое число сценариев потенциальных аварий. Детализированный количественный анализ частот и последствий не всегда осуществим. В таких ситуациях может оказаться целесообразным качественное ранжирование сценариев, помещение их в матрицы риска, указывающие различные уровни риска.
Степень угрозы фактора опасности определяет серьезность событий.
Определение угрозы фактора опасности должно включать в себя:
выявление угроз факторов опасности;
анализ угроз факторов опасности;
документирование угроз факторов опасности.
Выявление угроз производится как на основе внешней информации, так и на основе анализа контента организации и ее внешней среды.
Матрица качественной классификации степени угрозы фактора опасности приведена в таблице:
|
Определение |
Значение |
Степень |
|
Катастрофический |
Потеря бизнеса Многочисленные человеческие жертвы |
|
|
Опасный |
Существенное уменьшение «запаса прочности», не позволяющий гарантировать четкого и полного выполнения организацией своих задач. Серьезные травмы большого количества людей. Крупные финансовые потери. |
|
|
Значительный |
Существенное уменьшение «запаса прочности», снижение способности организации преодолевать неблагоприятные условия как результат повышения рабочей нагрузки или вследствие условий, снижающих эффективность их работы. Серьезный инцидент. Травмы физических лиц. |
|
|
Незначительный |
Помехи. Эксплуатационные ограничения. Использование аварийных процедур. Возможность инцидента. |
|
|
Ничтожный |
Малозначительные последствия |
При проведении анализа необходимо снижать, а по возможности исключать субъективность анализа рисков.
Анализ частот используется для оценки вероятности каждого выявленного нежелательного события, установленного на стадии идентификации опасности. Для оценки частот происходящих событий обычно применяются следующие три подхода:
а) использование имеющихся статистических данных (предыстория);
б) получение частот происходящих событий на основе аналитических или имитационных методов;
в) использование мнений экспертов.
Все эти технические приемы могут применяться по отдельности или совместно.
Первые два подхода являются взаимодополняющими, - каждый имеет сильные стороны там, где другой имеет слабые. Повсюду, где это возможно, должны применяться оба подхода. Таким образом, они могут использоваться для взаимных проверок. Это может служить повышению степени достоверности результатов. В тех случаях, когда данные подходы не могут использоваться, либо являются недостаточными, рекомендуется привлекать мнения экспертов.
Целью анализа частот является определение частоты каждого из нежелательных событий или сценариев аварий, выявленных на стадии идентификации опасности. Обычно используются три основных подхода:
а) использование соответствующих данных эксплуатации с целью определения частоты, с которой данные события происходили в прошлом, и, исходя из этого, определение оценок частоты, с которой они могут произойти в будущем. Используемые данные должны соответствовать типу системы, оборудования или деятельности, подлежащих рассмотрению;
б) прогнозирование частот событий с использованием таких технических приемов, как анализ диаграммы всех возможных последствий несрабатывания или аварии системы («дерева неисправностей») и анализ диаграммы возможных последствий данного события («дерева событий»). В том случае, когда статистические данные недоступны или не соответствуют требованиям, необходимо получить частоты событий посредством анализа системы и ее аварийных состояний. Числовые данные для соответствующих событий, в том числе данные о неисправности оборудования и ошибке человека, взятые из опыта эксплуатации или опубликованных данных, используются для определения оценки частоты нежелательных событий. При использовании методов прогнозирования важно обеспечить уверенность в том, что при анализе была учтена возможность нарушений режима работы системы, а также ее частей или компонентов, которые должны функционировать в случае возникновения отказов системы.;
в) использование мнения экспертов. Существует ряд методов для составления экспертного мнения, которые исключают двусмысленность оценок, помогают в постановке соответствующих вопросов.
|
Вероятность возникновения |
||
|
Количественное определение |
Имеется ввиду |
|
|
Частое |
Может возникать многократно (уже возникало часто) |
5 |
|
Периодическое |
Может возникать время от времени (возникало эпизодически) |
4 |
|
Редкое |
Маловероятно, но может возникнуть (возникало редко) |
3 |
|
Маловероятное |
Очень малая вероятность возникновения (случаи возникновения неизвестны) |
2 |
|
Почти невозможно |
Почти невозможно представить ситуацию, в которой происшествие может возникнуть |
1 |
Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием.
Анализ последствий должен:
а) основываться на выбранных нежелательных событиях;
б) описывать любые последствия, являющиеся результатом нежелательных событий;
в) учитывать существующие меры, направленные на смягчение последствий, наряду со всеми соответствующими условиями, оказывающими влияние на последствия;
г) устанавливать критерии, используемые для полной идентификации последствий;
д) рассматривать и учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного периода времени, если это не противоречит сфере распространения исследований;
е) рассматривать и учитывать вторичные последствия, распространяющиеся на смежное оборудование и системы.
Анализ последствий предусматривает определение результатов воздействия на людей, имущество или окружающую среду в случае наступления нежелательного события. Для расчетов рисков, касающихся безопасности полетов, анализ последствий представляет собой приблизительное определение количества АС в том случае, если произойдет нежелательное событие.
Существует множество методов оценки такого рода явлений, диапазон которых простирается от упрощенных аналитических подходов до очень сложных компьютерных моделей. При использовании методов моделирования необходимо обеспечить соответствие той проблеме, которая подлежит рассмотрению.
При проведении анализа риска необходимо установить, отражает ли полученная оценка риска уровень общего риска или является лишь его частью.
При расчете риска необходимо учитывать как продолжительность нежелательного события, так и вероятность того, что люди будут подвергаться его воздействию.
Возможная Матрица рисков приведена в таблице:
|
Вероятность возникновения риска |
Серьезность риска |
||||
|
Катастрофическая |
Угрожающая |
Крупная |
Малая |
Незначительная |
|
|
5 – Частая |
|||||
|
4 – Эпизодическая |
|||||
|
3 – Отдаленная |
|||||
|
2 – Невероятная |
|||||
|
1 – Почти невозможная |
|||||
4. Управления рисками
Управление рисками направлено на снижение негативного воздействия рисков.
Для снижения негативного действия рисков могут применяться следующие методы:
Избежание/уклонение – производственная и иная деятельностьотменяется, поскольку риск превышает выгоду от продолжения этой деятельности.
Сокращение – сокращается частота производственной или иной деятельности, или принимаются меры для уменьшения масштаба последствий допущенного/принятого риска.
Изолирование риска – принимаются меры к тому, чтобы локализовать последствия риска или обеспечить резервирование для защиты от него.
Передача риска – передача риска третьим лицам в случаях, когда воздействие на него со стороны организации невозможна или экономически не оправдана, а уровень риска превышает допустимый. Типичный пример передачи рисков – страхование.
Выбор методов управления риском можно рассматривать как проблему оптимизации в условиях ограничений. Критерии выбора могут быть различными, включая финансово-экономические критерии (обеспечение эффективности). Однако при принятии решения о том, какие методы следует использовать, нельзя все сводить к экономической отдаче. Важно учитывать и другие критерии, например, технические (отражающие технологические возможности снижения риска) или социальные (сведение риска к уровню, приемлемому для общества).
Подход к определению приемлемостиконкретных факторов риска предполагает рассмотрение нижеследующих аспектов:
a) Управленческий фактор . Не противоречит ли данный риск политике и стандартам организации в области безопасности?
б) Фактор финансовой возможности . Не выходит ли характер риска за рамки рентабельного решения?
в) Юридический фактор . Не противоречит ли данный риск действующим стандартам регламентирующего полномочного органа и возможностям в сфере обеспечения исполнения?
г) Культурологический фактор . Как персонал организации и другие участники отнесутся к данному риску?
д) Рыночный фактор . Будут ли конкурентоспособность и благосостояние организации в сравнении с другими компаниями поставлены под угрозу из-за непринятия мер по уменьшению или устранению данного риска?
е) Политический фактор . Придется ли организации заплатить политическую цену в связи с непринятием мер по уменьшению или устранению данного риска?
ж) Общественный фактор . Насколько большое влияние окажут СМИ или особо заинтересованные группы на общественное мнение в связи с данным риском?
Для управления рисками надо учитывать что:
Система управления рисками является частью общего менеджмента организации;
Особенности управления рисками требуют специализированных знаний при принятии решений для их управления;
При управлении риском необходимо учитывать имеющиеся внешние и внутренние ограничения организации;
В отношении всех рисков должна проводиться единая политика, что требует комплексного и одновременного управления всеми рисками организации;
Процесс управления рисками носит непрерывный динамический характер.
Более подробный разбор действий по управлению рисками требует отдельной статьи, как и количественный анализ рисков.
Под наш неусыпный взгляд попала, деятельность по управлению и анализ рисков, которую мы используем в своей профессиональной деятельности. За прошедшее, с нашего последнего рандеву времени, мы успели подготовить следующую статью.
Продолжение следует, прямо сейчас…
Сегодня мы поговорим о деятельности по управлению рисками.
Деятельность по управлению рисками, как каждая комплексная деятельность - это сложный итерационный процесс, который имеет свои стадии, цели и задачи. Любая стадия имеет свое назначение, «берет»/«получает» на вход своей деятельности данные, определенные «преддеятельностью» и на выходе формирует конечный/промежуточный результат.
Риск-менеджмент можно верхнеуровневого определить следующей последовательностью этапов:
Отраженная последовательность этапов является всего лишь отдаленным представлением рассматриваемой активности, и будет в дальнейшем детализирована и экспертно расширенна. К примеру, представленная в данном плане «риск-стратегия» - это всего лишь набор определенных взаимосвязанных процессов и документов, которые отражают суть всех или некоторых этапов риск-менеджмента.
Управление рисками, как было сказано в первой статье, это довольно молодая отрасль деятельности, в актуальном понимании её целей и задач. Она изучает степень влияния на различные сферы, процессы и т.д., как основные, так и косвенные/смежные, определенных событий, которые влекут за собой наступление различных видов ущерба или прибыли, и то, как ей можно управлять или, в крайнем случае, направлять или контролировать.
Управление и анализ рисков – это отдельная область, имеющая четко определенное отношение к ИТ. Но при этом, данное направление работ было бы некорректно называть наукой, а вполне правильно говорить о методологии, которая обладает собственным понятийным аппаратом, классификацией, видами анализа и т.д.
С представленной точки зрения, основной отличительной чертой данной методологии является терминология. Она представляет собой смесь между такими активностями, как информационные технологии, техника, инженерия, теория машин и механизмов, страховое дело и биржевое дело и т.п. Существование подобной «химеры» сложилось исторически, в соответствии с развитием риск-менеджмента и требует от специалиста, приобщенной к данной профессиональной области, широкого кругозора и разностороннего понимания не только «примерной» сути предмета, но и его деталей, а иначе профессионал рискует остаться за бортом понимания происходящего, что нивелирует его участие в данном процессе.
За каждым термином, которые будут приведены далее в этой статье, скрывается определенный смысл и история развития исходный причин и следствий, которые приобрели своё право на существование благодаря тому, что их важность и постоянная актуальность была подтверждена временем и обоснованностью получаемых результатов, таких как успех или ущерб.
Таким образом, чтобы грамотно управлять и направлять развитие рисков, ведь результатом риска может быть не только урон, но и эффективный результат, необходимо подробнейшим образом разбираться в их категориях, классификациях и типах. Уникальность каждого риска состоит в том, что причины их порождающие, зависят от таких факторов, как тип активности, в которой они проявляются, окружение процесса или события, вид технологии и т.д.
Несмотря на то, что нами было объявлено, что управление и анализ рисков это скорее методология, чем отдельное научное направление в области информационных технологий, важность восприятия и понимания фундаментальных основ, которые имеют свое непосредственное отношение к, казалось бы, совсем не ИТ дисциплинам, это одно из составляющих успеха в овладении и применении знаний по риск-менеджменту в практической деятельности.
Для того, чтобы говорить с Вами, уважаемые коллеги, на одном языке (ведь мы уже поняли насколько это важно), языке рисковой деятельности, необходимо сразу договориться о тех терминах, которые необходимо знать, для успешного освоения и применении на практики знаний риск-менеджмента.
С одной стороны, в силу специфики изучаемого предмета, рано говорить об устоявшейся терминологии в управлении рисками, применительно к информационным технологиям. Безусловно, данная объективная ситуация связана с разнообразием видов риска, которые являются объектом рассмотрения нашей дисциплины. Но нам необходимо очертить рамки наших исследований, а иначе мы с Вами рискуем (да, да, именно так:)) думать о разных вещах.
Определения риска было дано нами в первой статье, здесь же, для формирования полной картины изучаемого предмета, и всестороннего взгляда на довольно сложное понятие, мы приведем его еще раз:
Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.
Учитывая комплексность и многообразие дисциплин, которые «наполняют» риск-менеджмент, целесообразно привести альтернативное понятие риска, приведенное в одном из финансово-инвестиционных учебников:
Риск-событие или группа родственных случайных событий, наносящих ущерб объекту, обладающим данным риском.
Приведенное «финансовое» определение риска обязывает нас расшифровать понятия, которые входят в него:
Таким образом, риск, как самостоятельное событие, или часть более крупного события обладает двумя наиболее важными, с точки зрения управления рисками свойствами – вероятностью и ущербом.
Каждое событие порождается определенной причиной или набором причин. Такие причины принято называть инцидентами. Цепочка последовательных этапов, которые приводят от первоначального инцидента, к конечному событию – это сценарий развития. Зная те вероятности, которые привели к возникновению инцидентов, можно установить последовательность промежуточных шагов и рассчитать вероятности реализации сценария. Определяющим фактором освоения риск – менеджмента в информационных технологиях является способность одновременно анализировать, учитывать и синтезировать при рассмотрении конкретной ситуации или сценария три следующих домена:
Именно способность одновременно взаимосвязывать эти, казалось бы, абсолютно разные по своей природе предметы гуманитарного и технического характера способствует успеху в освоении и практическом применении области управления анализа рисков. Способность понимать и распознавать инциденты, относящиеся к различным «природам» возникновения и навык построения сценариев, различные стадий и шаги которых относятся к разным доменам, это важная характеристика высококлассного специалиста в риск-менеджменте.
На сегодняшний день многие популярные и основополагающие ИТ методологии из таких направлений как управление проектами (PMBOK), аналитика (BABOK), ИТ-аудит (COBIT), сервисная деятельность (ITIL), разработка программного обеспечения (MOF) и т.д., пытаются предоставить инструмент, который смог бы предложить эффективный алгоритм управления и анализа рисков. Таким «инструментарием» различных направлений деятельности домена информационных технологий являются следующие методы: CORAS, OCTAVE, CRAMM, MOF risk management, Risk it и т.д. Представленные процессы являются основными по востребованности и использованию, поэтому мы рассмотрим их все и попробуем разобраться в специфики каждого.
Краткий обзор методологий управления ИТ-рисками:
Была разработана в рамках западной программы «Технологии информационного общества». Цель данной методологии состоит в адаптации, уточнении и комбинировании таких основных методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.
CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management.
В CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а с нескольких сторон, точнее как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений.
Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги-Меллона (альма-матер многих современных ИТ-методологий и направления програмной инженерии) и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.
Ключевые элементы OCTAVE:
OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.
OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.
Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по превентивным мерам, позволяющим снизить/устранить воздействие рискам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер.
Эта методология заслуживает отдельного упоминания. Мы посвятим ей чуть больше материала и Вашего времени.
Она является самой распространенной на данный момент времени и определяет основные этапы управления рисками, которым в дальнейшем будет посвящена отдельная статья (мы на это очень рассчитываем), но которые мы упомянем и здесь:
Если рассмотреть модель управления рисками в отрыве от стандартов, где она используется (ITIL, MOF, и т.д.), то можно увидеть относительно неглубокое, но фундаментальное представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II (упомянутая в первой статье) – подробнее описывает вопросы организации системы управления рисками в компании.
Этот стандарт рассматривает подход к управлению рисками с двух аспектов: risk function и risk management.
В первом случае говорится о том, что нужно иметь в организации, чтобы построить и поддерживать систему управления рисками. Во втором мы рассматриваем ключевые процессы руководства и управления для оптимизации рисков и регулярные процедуры для идентификации, анализа, реагирования и отчетности по рискам.
Как Вам уже стало понятно, в ИТ области нет единого и централизованного взгляда на управление рисками. Множественность стандартов и методик вызвана, прежде всего, спецификой анализа и управления рисками в применении, к определенным отраслям и ресурсам, которые могут быть затрачены на их воплощение в жизнь. Но каждая из описанных методик имеет право «быть» только по тому, что они доказали свою состоятельность не только в качестве «книжных» значений, но и как конкретный и эффективный инструмент деятельности. Все из вышеприведенных методик решают, по сути, однотипные проблемы, вызванные похожими причинами и направленные на то, чтобы минимизировать ущерб от наступления риска или устранить его в принципе, но «заточены» по разные виды организаций и процессы, в которых планируется устранять или минимизировать риски. Из изложенных методов наиболее универсальным, без сомнения является MOF, которые с той или иной степенью адаптации может быть использован в любом типе активности, а вот остальные являются, по большей части, специализированными инструментами, требующими разного степени внимания и разных ресурсов. При желании, каждый из Вас может в «глобальной паутине» найти более подробную информацию об изложенных методах.
На сегодняшний день информационные технологии предоставляют разнообразный инструментарий для поддержки и развития любого типа специальной деятельности, независимо от её специфики и других характеристик, будь это узконаправленный тип электронного бизнеса, сфера образования или общеиспользуемый вид хозяйственных услуг.
Высокие технологии позволяют повысить эффективность уже существующих процессов, стать фундаментом для создания новых, но при этом, при условии их неуправляемого использования, становятся источником возникновения колоссальных рисков, которые, в случае «наложения», могут быть источниками многих «эмерджентных» результатов. Общеизвестный факт, что к деятельности по работе с рисками, в большинстве стран, особо плачевное состояние в данном направлении наблюдается и в РФ, относятся, как к ненужной избыточности, которая в последнее направление стала «модным» направлением деятельности, которому необходимо «как бы» следовать в силу многих факторов. Но реалии современных условий таковы, что при сохраняющихся темпах развития современного мира (прогнозируется что эти темпы будут только расти) предусмотреть, выявить и зафиксировать полный спектр возможных проблем для ИС (наиболее динамично изменяющаяся отрасль) практически не возможно, в не зависимости от того, какой именно тип работ выполняется: внедрение новых программных продуктов и комплексов, поддержка и развитие уже существующих или вывод из эксплуатации устаревших с последующим процессом миграции критически значимой для конкретной организации информации. В таком окружении вид деятельности, который направлен на проактивную и превентивную активность в разрезе решения/недопущения/устранения и т.д. возникающих задач и проблем становится особо важным. Таким видом деятельности и является направление анализа и управления рисками, что подтверждается активным ростом базы стандартов и методик, в которых полностью или частично рассматривается работы с рисками. Для примера можно привести следующие методологии COBIT, PMBOK, BABOK, ISO/IEC 17799, ISO/IEC 27000, BS7799, NIST SP800-30 и т.д.
В основе любой конструктивной деятельности заключено ясное понимание целей, задач и ресурсов, которые необходимы для достижения конечного результата.
Чем более определенными и однозначными являются эти факторы, тем ниже степень неопределенности, которая потенциально может повлиять на достижимость поставленной цели. На основе этого абсолютно очевидно, что главной причиной любого риска является степень неопределенности, которая заложена в тех постулатах, которые являются рамками процесса или проекта, инициирующими рассматриваемую нами активность. То, насколько очевидными являются наши проблемы и те ресурсы, которые выделены для их решения, определяет рискованность нашей деятельности. Неопределенные задачи, априори, обречены на то, что возможность составления и реализации жизнеспособного плана по их разрешению является «тычком» пальцем в «никуда».
Более высокая неопределенность условий как внешней, так и внутренней среды приводит к тому, что ресурсы, выделяемые на преодоление этих условий, должны быть как можно более качественные. Многие негативные факторы и причины можно предвидеть и «искоренять» основываясь только на опыте специалистов, имеющих высокие навыки по работе с рисками, но это вряд ли можно считать прогнозируемым фактором, который нужно использовать при построении системы риск-менеджмента. Проблема «ограниченности» ресурсов – это проблема, которая приводит к возникновению дефицита продуктивности.
При реализации проектов, которые имеют высокую степень неопределенности, необходимо уделять повышенное внимание общеиспользуемой системе анализа и управления рисками. Такая система должна учитывать специфику, как деятельности, в которой происходят процессы, связанные с рисками, так и организационную составляющую проекта и организации, в которой он выполняется.
Организационная составляющая и внимание, которое уделяется работе с рисками это отдельная тема и направление деятельности, которому, к сожалению, в России отводится мизерные затраты. Примером этому может являться то, что во многих руководящих документах не рассматриваются аспект рисков в принципе, их допустимый уровень и ответственность за принятие определенного уровня рисков.
В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority –это лицо, уполномоченное принять решение о допустимости определенного уровня рисков, что свидетельствует о качественно ином отношении к анализу и управлению рисками, к которому в нашей стране, конечно со временем придут, но затратив для этого множество бесполезных ресурсов.
Вовлеченность всех работниках на всех уровнях структурной иерархии любого предприятия в деятельность по анализу рисков и более пристальное отношение со стороны руководства, смогли бы коренным образом изменить, годами складывающиеся, пессимистичные тенденции в данной области и тем самым вывести основные процессы ИТ отрасли на качественно иной уровень.
Ясное понимание целей и задач осуществляемой деятельности помогают выявлять и минимизировать подавляющее число причин, которые приводят к возникновению рисков.
В основе деятельности по анализу и управлению рисками должно находиться явное, определенное и однозначное видение того, зачем необходимо данному, конкретному субъекту анализировать риски и управлять ими. Без четко намеченного плана (в идеальной ситуации, появившегося из стратегии развития) оценить и правильно идентифицировать информационные риски очень сложно, а порой даже невозможно. Успешность этих деятельностей будет зависеть только от квалификации обслуживающего их персонала, которая обсуждалась чуть ранее. Необходимо отметить отсутствие единого взгляда и стандарта/порядка/регламента, который смог бы описать и предложить путь решения всех явных и потенциальных проблем.
Каждая ситуация, каждый процесс состоит из множества элементарных объектов. Эти составляющие необходимо подвергнуть процедуре анализа. Подробность рассмотрения конкретной частицы зависит от величины вклада рассматриваемого объекта в результат деятельности.
Чем более сложные и многогранные процессы мы рассматриваем, тем более важным является детальная предварительная проработка сферы деятельности, методологии, в которой может возникнуть риск и применение лучших практик и методов, признанных и апробированных ранее в работе над ними.
Понимание целей помогает осознанно контролировать все рассматриваемые процессы, понимая заданный тренд и допустимые отклонения в его «пути».
Основная цель в активности анализа рисков – это предоставление наиболее полной и достаточной информации для адекватного управления рисками.
Под управлением более правильно понимать не «управление», как конкретную функцию менеджмента, но как саму дисциплину «менеджмент», которая заключает в себе 5 процессов:
Процесс совершенствования, который получает в последнее время наиболее бурное развитие благодаря распространению процессного подхода к организации деятельности, рассматривать здесь не вполне корректно. Причина этого в том, что рисковая составляющая должна «гаситься» со временем проведения процессов анализа и управления.
Активность анализа подразумевает под собой выполнение части активности совершенствования за счет того, что своевременно выстроенная система метрик основных «ущербных» составляющих процесса или проекта на этапе мониторинга и контроля, позволит существенно сократить затраты на эту составляющую и направить их в более конструктивное русло.
Итогом стадии анализа является исчерпывающие количественные и качественные данные, поступающие на «вход» стадии управления. Результатом этой стадии является без рисковый или «подконтрольнорисковый» результат.
Воплотить на практике вышеприденные тезисы будет возможно в том случае, когда каждый субъект, задействованные и взаимодействующий с объектом, подверженному риску, осознает важность и необходимость своей вовлеченности в работу с рисками, появление которых, пусть даже гипотетически, возможно.
Понимание и участие в управлении анализа рисками и своевременная эскалация возникающих проблем и задач, на всех иерархических ступенях любой организации, позволит добиваться поставленных целей.
После того, как цели и задачи установлены, приняты и однозначно понимаются всеми участниками, следующей ступенью при работе с рисками является их идентификация (в планах следующая статья будет посвящена именно идентификации рисков). Базисом процесса идентификации является категорийная база, которая является инструментом для отнесения риска к той или иному классу или группе категорий рисков. «Помещение» риска в правильную категорию является залогом того, что в дальнейшем, работа по обработке доступной информации о нем и выработка дальнейшего алгоритма работы над ним, позволит устранить или уменьшить величину ущерба от его появления.
На текущий момент развития области рисков в информационных технологиях уместно говорить о множественной типизации рисков. Отрасли информационных технологий присущ набор рисков, который наиболее характерен для рисков, связанных с высокотехнологичной и комплексной деятельностью, включающей в себя различные виды процессов. Набор рисков, характерный для определенного вида деятельности, называется комплексом рисков.
Когда речь заходит о комплексе, то, если использовать техническую терминологию, можно констатировать, что комплекс рисков является «взаимно пересекающим множеством» между всеми существующими комплексами рисков. Несмотря на рекурсивность получающегося определения, оно наиболее четко выражает сущность понятия комплекс рисков.
Комплексы рисков являются характерной составляющей для промышленности, финансовой и инвестиционных областей, коммерции, сферы кредитования и, конечно же, области информационных технологий. Таким образом, чем более сложный и комплексный вид деятельности, находящийся на «стыке» различных практических и теоретических областей, мы рассматриваем, тем более сложными и многогранными будут риски.
Информационные риски, возникающие в процессах и проектах, отличаются между собой по месту и времени возникновения, совокупности внешних и внутренних факторов, влияющих на их уровень и, следовательно, на способ их анализа и методы первичного и последующих описаний.
Как правило, все виды рисков взаимосвязаны и эмерджентны, поэтому оказывают влияния на осуществляемую деятельность не только сами по себе, а и в совокупности.
Изменение одного вида риска может вызывать изменение большинства остальных, находящихся в определенном комплексе. Классификация рисков означает систематизацию множества рисков на основании каких-то признаков и критериев, позволяющих объединить подмножества рисков в более общие понятия.
Наиболее важными элементами, положенными в основу классификации рисков, являются:
По времени возникновения риски распределяются на ретроспективные (прошлые), текущие и перспективные (будущие) риски.
Анализ ретроспективных рисков, их характера и способов снижения дает возможности более точно прогнозировать текущие и перспективные риски, предсказывать возможную природу их появления и, соответственно, управлять ей.
По характеру риски делятся на:
Сложно не заметить, что классификация по фактору возникновения представляет собой «матрешку». Вложенность факторов соответствует распределению пунктов в процессной модели любой компании, при этом, каждый из рассмотренных групп рисков имеет «внутренние» классификации, которые могут быть декомпозированы и расширены до уровня, необходимого для отслеживания и контроля за определенным видом риска.
По последствиям риски подразделяются на:
Говоря о последствиях возникновения рисков, нужно выделить отдельную классификацию по степени последствий возникновения рисков. Эта «подклассификация» является очень важной для принятия решений по осуществимости той или иной деятельности, связанной с рисками:
Успех при отнесении риска к тому или иному пункту данной классификации, напрямую зависит от многих факторов, для полноты взглядов можно выделить 2 из них:
Если, речь идет только о втором факторе, то, как отмечалось ранее, сложно говорить о том, что на предприятии выстроена качественная система по работе с рисками.
Успешность деятельности такой организации зависит только от конкретных специалистов, которые представляют собой «организацию в организации». Как правило, при уходе подобных специалистов, риск-менеджмент предприятия подвергается полному краху. Без четко выстроенной системы, в основу которой положена процессная модель с постоянным измерением результата деятельности, по заданным метрикам успешности, в современном мире высоких технологий, результат будет достичь довольно сложно. Но об этом чуть позже, в специально отведенной для этого статье.
Подводя итоги темы классификации рисков, надо упомянуть о том, что приведенные здесь классификация не претендует на полноту и достаточность. В любой активности, возможно появление рисков, которые несут на себе отпечаток и результаты специфичной деятельности конкретного предприятия. Проявление в них рисков, возможно и уникальны, единичны или присутствуют в групповых случаях, зависящих от конкретного окружения и четко определенных параметров деятельности, отдельно взятой организации. Такие риски должны быть рассмотрены отдельно, в соответствии с системой по анализу и управлению рисками, спроектированной под нужды данного конкретного предприятия.
Перед тем, как осуществлять классификацию рисков, необходимо правильно выявить оценить и понять предпосылки, которые могут привести к появлению или проявлению риска. Стадия анализа рисков, которая позволяет провести подобную активность – это идентификация риска. От того, насколько правильно и дальновидно проведена идентификация риска зависит верность выбранного метода по работе и минимизации дальнейшего возможного или явного ущерба.
Мы завершили краткое саммэри в направление по анализу и управлению рисков, кратко очертив границы данной деятельности. Здесь мы постарались конспективно ознакомить коллег с многообразием видов, типов и составленной на их основе классификации рисков, возникновению которых, в сущности, как было нами показано, способствует, в большинстве случаев, неопределенность начальных условий или ресурсов.
В дальнейшем мы приступим к подробному рассмотрению предваряющей стадии анализа рисков – процессу их идентификации и связанных с ним методов и методологий.
Желаем коллегам совершенствования в работе с/над ИТ- рисками.
Всего доброго и до встречи!
Принятие решений управленческого характера и их последующее выполнение есть комплекс мероприятий по исполнению риск-менеджмента организации.
Данный менеджмент создан для контроля над вероятностью возникновения неблагоприятного результата, снижению потерь в процессе управления.
Основная цель снижение и предотвращение вероятности возникновения рисков в антикризисном управлении, сопряжённых с экономической деятельностью организации. Рассмотрим организацию риск-менеджмента предприятии.
Основной составляющей антикризисного управления является управление рисками в организации в процессе разработки и реализации антикризисной стратегии предприятия. Это экономическое событие или непредвиденное изменение договора с партнёром, результат которого происшествие лишь нейтральных или отрицательных последствий. Получение дохода становится неопределённым, а вероятность утраты собственного капитала предприятия возрастает.
Управленческая деятельность напрямую сопряжена с рисковыми ситуациями в прогнозировании результата и принятия управленческих решений в сложившейся проблеме. Для того чтобы пережить кризис организации должны активно реагировать на опасность, принимать надлежащие меры для обеспечения оценки определения приоритетов в управлении .
Риск постоянно изменяется под воздействием внешних и внутренних факторов. Независимо от того, происходят ли эти изменения в бизнес-процессах самой компании, либо непосредственно в отрасли.
Компания с сильной стратегией будет периодически пересматривать свои программы и карты рисков, позволяя руководству по мере необходимости реагировать на эти изменения. Правильно функционирующая система управления позволяет компаниям рассматривать и оценивать различные возможности, а также создавать дополнительную стоимость, осмотрительно принимая риски.
Анализируя ситуацию и разрабатывая решения, сначала устанавливается, с какими видами ситуаций встретится менеджер в процессе управления. Способов проведения управленческих работ по риск-менеджменту очень много. В сравнительном анализе опасностей есть несколько основных этапов процесса управления риском.
Подразумевает постановку целей и определение масштаба проблем. Непосредственными, здесь выступают многочисленные экологические вопросы, требуемые решения в любой среде жизнедеятельности окружающей среды человека, самой окружающей среды, результатов работы предприятия и взаимодействия по их созданию или улучшению ситуации. Взаимовыгодное сотрудничество в области самой экологии здесь выступают отдельным вопросом, в чём и заключается масштабность и долгосрочная перспектива. Широкий круг участников определяет точные цели и задачи в этой области.
Подразумевает выбор мероприятий по сокращению или предотвращению рисков, которые были бы направлены на их достижение. Рассматриваются они с точки зрения их технологической и экономической выполнимости. Мероприятия избираются исходя непосредственно из этих показателей, критериев выбора. Во внимание принимаются в обязательном порядке сроки исполнения, критерий социальной справедливости и реалистичность выполнения, в соответствии с чем, и выполняются дальнейшие или планируемые взаимодействия отделов работы.
Создаются и анализируются этапы мероприятий по риск-менеджменту, в процессе нескончаемой проверки их исполнимости и эффективности для достижения поставленных целей. Применяются стратегии самого процесса управления. В ходе самой работы все предложенные мероприятия подвергаются анализу для оценки преимущества использования различных стратегий. В результате анализа избираются наиболее подходящие и целесообразные, наиболее эффективные. Здесь проходят и совещания членов группы. На основном этапе привлекаются широкий круг заинтересованных сторон, дабы избежать негативного отношения с их стороны.
Подразумевает осуществление контроля за выполнением различных этапов работ. Методы контроля зависят непосредственно от конкретных мероприятий и поставленных целей. Анализируется на каждом этапе показатели контроля и задачи выполняемых мероприятий. Осуществляется контроль на определённом промежутке времени, контроль результатов всех аспектов мероприятия и показатели соответствия масштаба.
В ряде западных стран давно произошёл переход к модели комплексных предупреждающих мероприятий на основе внедрения системы управления профессиональными рисками и формирования экономических стимулов для работодателей к улучшению условий труда. Он заключается в принятии законов, обязывающих самих работодателей проводить оценку риска, самим разрабатывать методические рекомендации по принципам и методам оценки, оформлять их в форме национальных стандартов.
Тщательному аудиту подвергаются правила по охране труда, в частности существующая система стандартов безопасности труда и придания стандартам статуса нормативно-правовых актов.
Новая система труда заключается в формировании на государственном уровне основных механизмов, методов и инструментов, с помощью которых можно объективно оценивать существующие риски, управлять ими и влиять на условия труда на рабочих местах.
В этой области проводятся масштабные исследования профессионального риска и создания статистической базы для дальнейшего глубокого анализа. Целей много, основная из которых снижение показателей производственного риска и безопасность труда. Управлением и внедрением системы управления профессиональными рисками на предприятиях занимаются центры охраны труда.
Едва ли не наиважнейшая составляющая управления банка в целом является управление процентным риском.
Процентный риск – фактор, заметно влияющий на работу банка исключительно в условиях стабильной экономики, высокоразвитой инфраструктуры и финансового рынка, и жёсткой конкуренции.
Интерес банков к данному типу риска возрос. Здесь есть необходимость проводить сложные расчёты с охватом всех возможных источников его возникновения, а так же адекватного реагирования и правильности измерения. Необходимость составить полную картину связей и отношений, образующуюся при управлении процентными рисками и применить всевозможные средства управления им. Качественное управление предприятия включающего риск-менеджмент и есть условие стабильности и конкурентоспособности банка.
Финансовая устойчивость – это главный компонент общей устойчивости предприятия. Это такое состояние его финансовых ресурсов, их перераспределения и использования, когда обеспечиваются, развитие предприятия на основе собственной прибыли и рост капитала при сохранении его платежеспособности и кредитоспособности в условиях допустимого уровня финансового риска.
Видов риска несколько и рассчитывается максимальный возможный убыток по данному виду риска. Затем сопоставляется с объёмом капитала предприятия под риском. Потом сопоставляется весь возможный убыток с общим объёмом собственных финансов.
Методы управления финансовыми рисками является снижение потерь, связанных с данным риском до минимума, оцениваются в свою очередь и шаги по их предотвращению. Регламент управления рисками уравновешивает эти две оценки и планирует, как лучше заключить сделку с позиции минимизации опасности.
Методы снижения риска — это методы управления, воздействующие на те, или иные стороны деятельности предприятия. Эти методы составляют четыре группы:
Неопределённость в управлении рисками проекта существует в каждом проекте. Они прогнозируются и не прогнозируются. При реализации управления проектов с высокой степенью неопределённости много внимания уделяется разработке и применению корпоративных методов управления рисками.
Применяются испробованные методы и этапы управления риском, учитывается специфика проектов и корпоративных методов управления. Данный процесс, включает выполнение процедур по методике снижения риска.
В эпоху экономического и финансового кризиса управление рисками является наиболее актуальной проблемой, встающей перед российскими промышленными компаниями. Процессы глобализации становятся еще одним источником экономических рисков, поэтому использование основ риск-менеджмента в управлении будет способствовать достижению целей и задач химических компаний, хотя и, безусловно, не сведет степень вероятности появления различного рода рисков до нулевой отметки.
Внедрение системы риск-менеджмента на предприятиях дает возможность:
К особенностям риск-менеджмента можно отнести: необходимость наличия у руководства компаниями опережающего мышления, интуиции и предвидения ситуации; возможность формализации системы управления рисками; способность быстрого реагирования и выявления путей совершенствования функционирования организации, сокращения степени вероятности нежелательного хода событий.
Комплексная система управления рисками ERM (Enterprise Risk Management ) во многих зарубежных компаниях, например, в США, используется уже довольно широко, поскольку хозяева крупных мировых компаний уже на практике удостоверились, что старые методы управления не соответствуют современным рыночным условиям и не в состоянии обеспечивать успешное развитие их бизнеса.
Применение риск-менеджмента предполагает четкое распределение ответственности и полномочий между всеми структурными подразделениями. В функции высшего руководства входит назначение ответственных за выполнение необходимых процедур управления рисками на всех уровнях. Такие решения должны соответствовать стратегическим целям и задачам компании и не нарушать условия действующего законодательства. При этом следует правильно распределить среди исполнителей мероприятие по выявлению рисков и функции контроля за создавшейся рисковой ситуацией.
Управление рисками является одним из ключевых инструментов, направленных на повышение эффективности программ деятельности руководителей предприятия, которую они могут использовать для снижения стоимости жизненного цикла продукции и смягчить или избежать потенциальных проблем, которые могут помешать успеху деятельности предприятия.
Достижение целей предприятия требует конкретных представлений об основном виде деятельности, технологиях производства, а также изучения основных видов рисков. Предупреждение рисков и снижение потерь от воздействия приводит к устойчивому развитию предприятия. Процесс, при котором деятельность предприятия направляется и координируется с точки зрения эффективности управления риском и представляет собой риск-менеджмент. Управление рисками является процессом выявления потерь, с которыми организация сталкивается в процессе основного вида деятельности и степени их воздействия, и выбора наиболее подходящего метода для управления каждым отдельным видом риска.
В другом представлении, управление рисками представляет собой систематический процесс, при котором риски, оцениваются и анализируются для уменьшения или устранения их последствий, а так же для достижения целей.
На основе вышесказанного можно прийти к выводу, что управление рисками для обеспечения жизнеспособности и эффективности деятельности предприятия, является циклическим и непрерывным процессом, который координирует и направляет основные виды деятельности. Это целесообразно осуществлять при помощи выявления, контроля и снижения влияния всех видов рисков, включая мониторинг, контакты и консультации, направленные на удовлетворение потребностей населения, без ущерба для возможности будущих поколений удовлетворять свои собственные потребности. Оценка риска приводит к стабильности деятельности предприятия, способствующей его устойчивому развитию. Управление рисками — вклад в устойчивое развитие, является существенным фактором в поддержание и повышение стабильной деятельности предприятия. Активный риск-менеджмент имеет решающее значение для процесса управления, в направлении подтверждения, что риски обрабатываются на соответствующем уровне.
Планирование и осуществление управления рисками включает в себя следующие этапы:
В целях содействия деятельности по управлению рисками предприятию необходимо разработать методологию (программу) по непрерывному управлению рисками (МНУР). МНУР является теоретически значимой программой, направленной на разработку механизмов управления проектами с передовой практикой процессов, методов и инструментов управления рисками предприятия. Она обеспечивает условия для активного принятия решений, постоянной оценки рисков, определения степени значимости и уровня влияния рисков на управленческие решения, и осуществление стратегии для борьбы с ними. Кроме того, может быть также достигнут прогресс в масштабах проекта, бюджета предприятия, сроках его реализации и т.д. Рисунок 1 наглядно иллюстрирует методологию непрерывного процесса управления рисками.
Рис. 1. Непрерывный процесс управления рисками
Процесс управления показателями выступает в качестве вспомогательного инструмента получения информации, необходимой для разрабатываемого механизма риск-менеджмента. Неблагоприятные тенденции должны быть проанализированы и дана оценка их влияния на данный механизм. Соответствующие действия механизма управления должны быть приняты для тех областей деятельности, которые определены как базовые в бизнес-процессах предприятия. Корректирующие действия могут включать в себя перераспределение ресурсов (средств, персонала и изменение графика производства) или активацию запланированной стратегии смягчения последствий влияния рисков. Тяжелые случаи, неблагоприятные тенденции и основные показатели могут также учитываются при использовании данного механизма.
Важно, что данный механизм подчеркивает необходимость переоценки выявленных рисков, систематически влияющих на деятельность предприятия. Поскольку система проходит через жизненный цикл разработки, в данном случае большая часть информации станет доступной для оценки степени риска. Если величина риска изменяется значительно, подходы к его обработке должны быть скорректированы.
В целом, такой прогрессивный подход к управлению рисками имеет решающее значение для всестороннего процесса управления и гарантирует, что показатели риска обрабатываются эффективно и на соответствующем уровне.
Рассмотрим политику управления рисками, которую следует применять на предприятии. Разрабатываемый механизм (программа) должен быть направлен на эффективное и непрерывное управление рисками. Таким образом, ранняя, точная и непрерывные идентификация и оценка рисков поощряется, а создание информационно прозрачной отчетности по рискам, планирование мер по уменьшению и предотвращению изменению внешних и внутренних условий будет оказывать при этом положительное влияние на программу.
Данный механизм, включая взаимоотношения с контрагентами и подрядчиками, должен выполнять функции по идентификации рисков и их мониторингу. Для его реализации необходимо наличие некоего плана в виде набора руководящих документов, разработанных для конкретных областей деятельности. Этот план устанавливает руководящие принципы для реализации МНУР в определенном временном интервале. Он не влияет на осуществление других видов деятельности всего предприятия, но скорее может обеспечить руководству лидерство в области управления рисками.
Процесс управления рисками должен отвечать ряду требований: он должен быть гибким, инициативным, а также должен работать в направлении обеспечения условий для эффективного принятия решений. Управление рисками будет влиять на риски путем:
Процесс управления рисками будет осуществляться на гибкой основе, учитывая обстоятельства возникновения каждого риска. Основная стратегия управления рисками призвана определить важнейшие области рисковых событий, как технических, так и нетехнических, и заранее принять необходимые меры, чтобы справиться с ними, прежде чем они окажут значительное влияние на предприятие, вызывая серьезные затраты, снижая качество продукции или производительность.
Рассмотрим более детально функциональные элементы, которые являются составляющими процесса управления рисками: идентификация (выявление), анализ, планирование и реагирование, а также мониторинг и управление. Каждый функциональный элемент рассмотрим ниже.
Для эффективного риск-менеджмента на предприятии считаем целесообразным создание отдела управления рисками. Основные обязанности данной структурной единицы, в том числе для персонала и других пользователей (включая сотрудников, консультантов и подрядчиков), в целях успешной реализации стратегии управления рисками и процессов приведены в табл. 1.
Таблица 1 — Отдел управления рисками роли и обязанности
| Роли | Возложенные обязанности | |
| Директор программы (ДП) | надзор за рисками деятельности управления.
Мониторинг рисков и планов реагирования на риски. Утверждение решения о финансировании планов реагирования на риски. Мониторинг управленческих решений. |
|
| Менеджер проектов | оказание помощи в контроле риска деятельности управления
Оказание помощи в создании организационных полномочий для всех мероприятий по управлению рисками. Своевременное реагирование на риск финансирования. |
|
| Служащий | содействие осуществления управления рисками (служащий не несет ответственность за определение рисков, или успех индивидуальных планов реагирования на риски).
Необходимость поощрения активной позиции по принятию решений при определении соответствующих мер реагирования на риски для «владельцев» рисков и менеджеров отделов. Администрирование и поддержание приверженности заинтересованных сторон, процесс управления риском Обеспечение регулярной координации и обмена информацией по риску между всеми заинтересованными сторонами, Управление рисками, находящихся в зарегистрированном реестре рисков (базе данных). Развитие знаний персонала и подрядчиков в области деятельности по управлению рисками. |
|
| Секретарь | функции секретаря выполняет служащий отдела рисков или они чередуются между всеми сотрудниками. Функции включают в себя:
Планирование и координация встреч; Подготовка повестки дня заседания, пакеты оценки риска, а также протоколы заседаний. Получение и отслеживание статуса предложенных видов риска. Выполнение первоначальной оценки предлагаемых видов риска для определения наиболее важного. Эксперт предметной области анализа риска по просьбе председателя СД. Содействие проведению анализа членами Совета Директоров, которые будут принимать решение о том, необходимо ли снижение рисков. Регулярная координация и коммуникация риска обмена информацией со всеми заинтересованными сторонами, |
|
| Директор отдела (ДО) | назначение владельцев рисков в их зоне ответственности и / или компетенции.
Активное поощрение сотрудников Отслеживание интеграции усилий ответственных лиц по управлению рисками в своих зонах ответственности. Выбор и утверждение стратегии реагирования на риски. Это включает в себя утверждение ресурсов (например, риск владельца) для дальнейшего анализа рисков и / или составление более детального плана реагирования на риски в случае необходимости. Утверждение всех задач. Назначение ресурсов для ответных мер по управлению риском, содержащихся в детальном плане. |
|
| Индивидуальный член программы Офиса управления (ИЧП) | определение рисков.
Доступ к данным по управлению рисками Выявление возможных рисков по данным с использованием стандартной формы идентификации при необходимости Составление и выполнение плана реагирования на риски Определение времени и всех расходов, связанных с реализацией плана реагирования на риски |
|
| Владелец риска / Ответственное лицо | посещение заседаний отдела управление рисками.
Обзор и / или предоставление соответствующих данных, например, анализ критического пути, инструменты поддержки управления проектами / данных, анализ дефектов, аудит, и возможности возникновения неблагоприятных тенденций Участие в разработке планов реагирования Отчет о статусе рисков и эффективность планов реагирования на риски Работа по определению средств реагирования на риски путем любого дополнительного или остаточного риска. |
|
| Комплексная бригада (КБ) | выявление и предоставление информации о рисках, которые могут возникнуть в результате деятельности КБ.
Участие в планировании любого риска в соответствии с этой программой. Такое планирование требует согласования с отделом по управлению рисками, которые, действуя в качестве руководства, могут способствовать приобретению ресурсов для реагирования на риски. Доклад о ходе и результатах реагирования на риски. |
|
| Управление качеством | осуществление контроля и обзор РКМ при обновлении или изменении плана
Обязанность поддерживать качество практики составления документации и процессов управления рисками |
|
Функции управления рисками заключаются в организации взаимодействия с существующими подразделениями организационной структуры. ИПЦ формируются для функциональных областей, которые имеют решающее значение для успешной реализации поставленных задач. Все функциональные отделы или бизнес-процессы, не охваченные КБ, оцениваются и рассматриваются ДП, ПМ, и служащим для обеспечения адекватного поведения в отношении появления риска. Идентификация рисков представляет собой процесс определения того, какие события могут повлиять на деятельность предприятия, и документирования их характеристик. Важно отметить, что идентификация риска является повторяющимся процессом. Первая итерация является предварительной оценкой и проверкой по рискам команды, по мере необходимости, с идентификатором риска. Вторая итерация включает в себя презентацию, просмотр и обсуждение. Процесс управления рисками включает три отдельных этапа по характеристике рисков: выявление, оценка и корректировка, и подтверждение.
Графическое изображение процесса идентификации рисков представлено на рис. 2.
Рис. 2. Структурная схема алгоритма идентификации риска
В результате его внедрения может быть разработан комплекс мероприятий, позволяющих оценить операционные риски предприятия, интегральный риск, количественная оценка которого основана на комплексном анализе финансовой и бухгалтерской отчётности, и проведение оценки интегрального риска на основе всех уровней ответственности предприятия.
Управление рисками на химических предприятиях необходимо осуществлять в рамках системного и процессного подходов, с учетом специфики отрасли с использованием современных эффективных методов управления и организаций производства, а также с использованием инструментов риск-менеджмента. Система риск-менеджмента деятельности химического предприятия должна обязательно учитывать требования безопасности, установленными государственными органами власти, и обеспечивать безопасность и сохранение здоровья персонала, связанного с опасным технологическим объектом. В целях эффективного риск-менеджмента предприятия необходима система управления интегральным риском, которая заключается в комплексном подходе к оценке максимального числа факторов риска деятельности предприятия, осуществляемой в условиях динамичной экономической среды. Автор считает, что разработка вышеописанного комплекса мероприятий будет сопутствовать повышению уровня управления и оценки рисков в промышленных организациях.
