Термин «анализ риска» возник в рамках сложившейся на Западе к началу 80-х гг. XX в. новой отрасли научных исследований - исследований проблем технологического риска.

1.Под анализом рисков понимается процесс определения, идентификации и группировки (ранжирования) тождественных рисков (на стадии подготовки решения;

2.Под оценкой рисков понимается определение возможных потенциальных последствий от них (на стадии подготовки решения);

3.Под анализом и оценкой риска после выработки возможных вариантов решений конкретной проблемы понимается их анализ и оценка с учетом возможных выгод и потерь (негативных последствий), т. е. Выявление оптимальной альтернативы.

1.1.Общие основы анализа рисков

Анализ рисков:

Это процесс требу­ющий комплексного иссле­дования экономических, управленческих, социальных и других факторов;

Это, прежде всего, получение необходимой информации о рисках, причинах их возникновения, факторах, влияющих на увели­чение или уменьшение уровня рисков при принятии решений по управлению рисками.

Анализ риска начинается с выявления источников (причин) возникновения риска, факторов риска. Различают факторы 1-го и 2-го порядка.

Факторы 1-го порядка - это первичные причины, вызывающие риск как таковой, они как правило носят объективный характер и являются неуправляемыми.

Факторы 2-го порядка (объек­тивные и субъективные), сами по себе, не являются причиной ущерба, однако влияют на вероятность возникновения ущерба и его величину.

Объективные факторы - это наличие охранной сигна­лизации, местонахождение объекта, возраст и пол человека и др.

Субъективные факторы связаны с особенностями поведения и характером человека; именно они оказывают решающее воздействие на развитие ситуации риска.

Общими принципами анализа риска являются:

Всеобщность покрытия исследовательского поля;

Учет стратегии предприятия;

Учет временного фактора;

Достоверность получаемой информации;

Экономичность применяемых методов выявления риска.

Процесс анализа риска включает в себя следующие этапы:

1. Постановка цели и задач анализа риска.

2. Определение необходимого масси­ва информации и разработка форм отчетности.

3. Сбор информации:

Анализ и прогноз внешней среды предприятия;

Анализ и прогноз внутренней среды предприятия.

4. Предоставление собранной информации в специальных формах отчетности для проведения анализа.

5. Анализ полученной информации:

* проведение укрупненного и детального анализа;

* выявление источников возникновения конкретных видов рисков;

* выявление и анализ внутренних и внешних факторов, увеличивающих (уменьшающих) конкретный вид риска.

6. Выявление возможных рисков в вариантах решения конкретной проблемы (на стадии выработки решения).

7. Определение наличия рисков в альтернативе решения конкретной проблемы (на стадии принятия решения).

8. Составление перечня результатов анализа рисков с целью их определения и класси­фикации.

В целях экономии средств и времени следует определить необходимый для целей анализа риска массив информации и разработать требуемые формы отчет­ности для предоставления нужной информации.

Анализ риска основан на сборе и обработке информации различного рода: ин­формации о состоянии внешней среды, внутренней среды предприятия и пр. Необходим, как уже отмечалось выше, комплексный процесс сбора, передачи и распространения нужной информации (надежной, достоверной и своевременной), для соот­ветствующих управленческих звеньев и уровней. Собранную инфор­мацию для удобства использования необходимо предоставлять в специальных формах отчетности; каждое предприятие может вырабатывать свои собствен­ные формы отчетности. Они зависят от масштабов и направлений деятельности предприятия, его организационной структуры, численности аппарата управле­ния и персонала и пр.

Анализ и прогноз состояния внешней среды предприятия включает в себя ис­следование и прогноз состояния смежных предприятий (относятся ли они пожаровзрывоопасным, химически опасным, радиационно опасным и ОПО и какой категории и т.д.) и окружающей природной среды (возможны ли природные пожары, наводнения и т.д.).

При проведении анализа и прогноза внутренней среды предприятия анализируются положение предприятия, его устойчивость и способность предпринимать рискованные действия.

Для анализа и прогнозирования состояния внешней и внутренней среды, а так­же поведения предприятий в ситуации риска эффективно применять моделирование. Оно позволяет изучить динамику состояния внешней и внутрен­ней среды предприятия еще до ее реального воплощения, воспроизвести действие различных факторов и условий среды, исследовать эффективность альтернатив­ного варианта решения, вскрыть возможные ошибки и исправить их, не неся при этом реальных материальных потерь.

Анализ хозяйственной деятельности позволяет не только правильно оценить эффективность использования экономического потенциала, но и выработать стра­тегию и тактику хозяйственного развития, выявить проблемы экономического и социального развития, перспективные пути их решения, разработать возможные варианты управленческих решений и оценить их возможные последствия (в том числе и в ситуации риска).

Таким образом, наиболее важными этапами анализа рисков являются выявление возможных рисков в вариантах решения конкретной проблемы и определения наличия рисков в альтернативе решения и их анализ.

Оценка и анализ рисков

3. Шаги (этапы) оценки риска

Оценка рисков обычно производится посредством пяти шагов. Шаг 1. Выявление опасностей:

Сначала необходимо выяснить то, как именно могут пострадать люди.

Существуют несколько источников получения информации о возможных рисках:

Нормативные правовые акты, справочная литература, отраслевые и межотраслевые правила и др.;

Результаты проверок органов надзора;

Результаты производственного контроля;

Результаты аттестация рабочих мест;

Ведение реестра химических веществ, используемых на производстве;

Определение свойств, которыми должны обладать СИЗ;

Наличие инструкции на каждое рабочее место;

Наличие руководства по эксплуатации оборудования;

Наблюдение за рабочей средой;

Анкетирование (использование опросных листов);

Опыт практической деятельности руководителя работ по оценке рисков.

Работая на определенном рабочем месте каждый день, легко предвидеть некоторые опасности. Поэтому ниже приведен ряд советов работодателю с тем, чтобы помочь ему определить те опасности, которые являются существенными:

Совершите обход рабочего места и посмотрите, от чего может исходить вероятная опасность, способная причинить вред.

Спросите у работников или их представителей о том, что они думают. Они могут заметить те вещи, которые могут не сразу привлечь ваше внимание. - Составьте список опасностей, существующих на предприятии.

Не всегда требуется измерять уровень шума или степень подверженности работников воздействию вредных веществ. Разговаривая с кем-либо на расстоянии одного метра и повышая при этом голос, можно легко предположить, что уровень шума превышает 80 dB(A), а посему является вредным фактором. Если ощутим запах гари в сварочном цехе, то вероятнее всего разрешенный порог допустимой величины загазованности при сварочных работах превышен.

Шаг 2. Определение того, кто может пострадать и как:

Для каждого вредного фактора необходимо выяснить, кому именно может быть причинен вред. Это поможет определить наилучший способ управления риском. Это не означает составление списка конкретных людей с указанием фамилий, здесь речь идет скорее о группах людей (например, «работники склада» или «операторы»).

В каждом случае необходимо определить, какой именно вред может быть нанесен людям, т.е. какая травма или какое нарушение здоровья может быть получено. Например, «укладчики на складе могут получить травму спины от частого поднятия коробок».

Необходимо помнить, что труд некоторых категорий работников связан с повышенными требованиями. Это касается, например, новичков и молодых работников, беременных женщин и кормящих матерей, людей с инвалидностью, т.е. категорий, которые могут быть особенно подвержены рискам.

Некоторым лицам необходимо уделить особое внимание: - уборщикам, подрядчикам, специалистам по обслуживанию, которые не всегда находятся на определенном рабочем месте;

Посторонним посетителям, которым может быть нанесен вред в результате выполняемой работы;

В случае, когда данное место работы делится с другой компанией, работодателю необходимо подумать о том, как работа его персонала влияет на работников другой организации, а также о том, как работа других влияет на его персонал;

Поговорить с работниками и поинтересоваться у них, нет ли среди них того, кто мог бы допустить сбой в работе.

Шаг 3. Оценка рисков и определение мер предосторожности:

Отметив опасности, необходимо решить, что с ними делать. Работодатель должен делать все «разумно осуществимое» с тем, чтобы защитить людей от вреда. Работодатель может разработать необходимые меры сам, но самый легкий способ - это сравнить то, чем он занимается, с передовым опытом в данной области.

Итак, во-первых, он проверит, что он уже делает, подумает над тем, какие меры контроля у него применяются, и как организована работа. Затем он сопоставит ситуацию в своей компании с передовым опытом и увидит, не следует ли сделать больше для того, чтобы соответствовать требованиям отобранных добровольных стандартов передового опыта. Задаваясь этим вопросом, он должен подумать о том, сможет ли он избавиться от вредного фактора вообще и, если нет, как контролировать риски таким образом, чтобы снизить вероятность проявления вреда?

При осуществлении контроля над рисками необходимо применять приведенные ниже принципы по возможности в следующем порядке:

Стараться применять менее рискованный вариант (например, переключаться на применение менее опасных химических веществ);

Предотвращать доступ к вредным факторам (например, путем охраны); - организовать работу таким образом, чтобы снизить степень подверженности воздействию вредного фактора (например, путем установления барьеров между пешеходными дорожками и движением транспорта);

Применять средства индивидуальной защиты (например, спецодежду, спецобувь, очки и т.д.);

Обеспечить наличие бытовых объектов (например, пунктов первой помощи, душевых, моек для удаления загрязнений).

Улучшение ситуации в сфере здоровья и безопасности не требует больших затрат. Например, размещение зеркала на опасном слепом углу здания с тем, чтобы предотвратить дорожно-транспортный травматизм - это низко-затратная мера предосторожности, позволяющая снизить риск. Невыполнение таких элементарных мер предосторожности может стоить гораздо дороже, если произойдет несчастный случай.

Привлекая персонал, работодатель может убедиться в том, что то, что он предлагает сделать, будет работать на практике и не приведет к каким-либо новым угрозам.

Не всегда возможно сопоставить вредные факторы с существующим передовым опытом. В этом случае необходимо оценить вероятность или возможность нанесения вреда и степень тяжести его последствий. Ряд методов был разработан в этих целях.

Например, проводить оценку профессиональных рисков посредством пятиступенчатой шкалы оценки, приведенной в таблице 1:

Таблица 1

Применяемый в этом методе подход основан на комбинации степени подверженности работника воздействию вредного фактора на рабочем месте, вероятности возникновения угрозы на рабочем месте и последствий для здоровья и/или безопасности работников в том случае, если угроза осуществится.

Этот метод выражается формулой:

R = Подверженность x Вероятность x Последствия

Проведение анализа рисков таким способом должно вести к классификации рисков в сфере здоровья и/или безопасности работников по степени серьезности, например:

R = 0 - 20 небольшой риск, возможно приемлемый;

R = > 400 очень высокий риск, немедленное прекращение деятельности;

На основе определения степени серьезности рисков можно расставить приоритеты для устранения и/или снижения уровня рисков на рабочем месте.

На основе анализа источников информации формируют исходную базу возможных рисков. Проведение первичного анализа профессиональных рисков предполагает определение наиболее значимых профессиональных рисков и оценка рискообразующих факторов. Наиболее значимые профессиональные риски - это те риски, которые наиболее часто и в большем количестве имеются на предприятии, они обусловлены особенностями технического и технологического оснащения производства. Также к таким рискам относятся те, которые влекут за собой наиболее тяжелые последствия (развитие профессионального заболевания, тяжелые травмы, травмы, сопряженные с инвалидностью и т.д.). Оценка рискообразующих факторов заключается в определении факторов, влияющих на частоту и тяжесть профессиональных рисков, их градации по степени влияния. Пространство возникновения профессиональных рисков - это условия труда. Поэтому необходимо учитывать те факторы, которые в большей степени влияют на безопасность или опасность условий труда.

Шаг 4. Фиксирование результатов оценки рисков, выполнение запланированного мероприятия:

Запись результатов оценки рисков и информирование о них персонала способствует применению работодателем результатов оценки в целях улучшения условий труда. При практическом применении результатов оценки рисков необходимо разделять заботу о людях и заботу о бизнесе. С другой стороны, существует правовое обязательство излагать результаты оценки рисков в письменном виде. При фиксировании результатов делайте как можно более простые записи, например: «Спотыкание о мусор: установлены мусорные бачки, персонал проинструктирован, еженедельные проверки организации работы» или «Вредные газы от сварки: используется местная вытяжная вентиляция, которая регулярно проверяется».

Никто не ожидает от работодателя, чтобы оценка рисков была совершенной, однако она должна быть надлежащей, достаточной и отвечающей правовым обязательствам.

Работодатель должен быть в состоянии показать:

Что надлежащая проверка была проведена;

Кто может подвергнуться опасному влиянию;

Что всеми значимыми вредными факторами занимаются, принимая во внимание количество людей, которое может быть вовлечено;

Что предпринятые меры предосторожности разумны, а оставшийся риск минимален; - что персонал предприятия или его представители были вовлечены в процесс и - что проведение оценки рисков проверялось службой по здоровью и безопасности работников.

При наличии большого количества рисков возможно создание в организации Классификатора рисков. Пример создания в организации классификатора рисков размещен в Приложении 1, где дается градация риска по следующим критериям:

01, 02, 03 и т.д. - общее наименование риска;

0101, 0102, и т.д. - конкретный вид риска;

11.01.01. - разновидность конкретного вида риска;

11.01.01.01 - степень риска: - умеренная

11.01.01.02. - степень риска: - средняя

11.01.01.03. - степень риска: - высокая.

На каждое рабочее место может разрабатываться Карта оценки рисков (далее - КОР) - Приложение 2, Таблицы 2.1., 2.2.

По мере заполнения КОР выявляем степень тяжести риска, где:

1. умеренная (малая) степень риска - пострадавшему работнику не требуется оказание медицинской помощи, в худшем случае 3х дневное отсутствие на работе;

2. средняя степень риска - пострадавшего работника доставляют в организацию здравоохранения или требуется ее посещение, отсутствие на работе до 30 дней, развитие хронического заболевания;

3. крайняя (большая) степень риска - несчастный случай вызывает серьезное (неизлечимое) повреждение здоровья, требуется лечение в стационаре, отсутствие на работе более 30 дней, стойкая утрата трудоспособности (инвалидность) или смерть.

По мере заполнения КОР выявляем степень вероятности риска, где:

1. риск невероятен - значит, что организация работы по охране труда носит рекомендательный характер, но свидетельствуют об оказании внимания руководителями и работниками на вопросы охраны труда, об уровне производственной культуры и трудовой дисциплины, такие как, например, содержание в чистоте помещений и рабочих мест, соответствие средств индивидуальной защиты выполняемой работе, соответствие эргономических и других факторов, способствующие созданию в подразделении атмосферы уюта, культуры, безопасности труда.

2. риск вероятен - значит, что несоблюдение требований безопасности непосредственно не приводит к травме или заболеванию, но указывает на недостаточный уровень организации работ по охране труда или может привести к отягчению последствий инцидента, несчастного случая (отсутствие знаков безопасности, не укомплектованность аптечек первой помощи, плохое содержание проходов, наличие вредных производственных факторов и др.).

3. риск высоко вероятен - значит, что плохо организована работа по охране труда, не соблюдаются требования безопасности, которые могут привести к травме или профзаболеванию и требуется устранение, ликвидация вредных факторов, вплоть до ликвидации такого рабочего места. В эту группу рекомендуется включать все государственные нормативные требования охраны труда.

По мере составления КОР на каждое рабочее место (согласно штатному расписанию, с учетом используемого оборудования и инструментов) составляется подробный план мероприятий по снижению рисков, с указанием, в том числе, ответственного лица за каждый конкретный пункт плана, сроки выполнения конкретного пункта плана, при необходимости - источники финансирования.

Цель плана мероприятий по снижению рисков - уменьшение случаев отклонения от правил и инструкций по охране труда, соответственно - снижение рисков травмирования и профзаболеваний, а значит и рост производительности труда, улучшение имиджа организации; уменьшение или устранение нежелательных побочных эффектов, вызванных нарушениями трудовой дисциплины и применением наказаний; усиление чувства удовлетворения среди персонала от проделанной работы; улучшение качества взаимоотношений между руководителями среднего звена и рабочими и служащими. Нельзя забывать истину «Сбережения всегда превышают расходы».

Хороший план мероприятий по снижению рисков часто включает комбинацию различных мер и действий, например:

Правовые обязательства, которым необходимо соответствовать как можно скорее;

Ряд наиболее дешевых или легко осуществимых усовершенствований могут быть выполнены быстро, возможно как временные решения до принятия более надежных мер контроля;

Долгосрочные решения относительно тех рисков, которые с наибольшей степенью вероятности могут привести к несчастным случаям или нарушениям здоровья;

Долгосрочные решения относительно рисков с потенциально наименее благоприятными последствиями;

Организация обучения работников по оставшимся основным рискам, а также по тому, как их контролировать;

Регулярные проверки с тем, чтобы убедиться, что меры контроля принимаются и четкая ответственность - ясное понимание того, что принимаемые меры исполнены в полной мере и в срок.

Наиболее важным проблемам следует отдавать приоритет и заниматься их решением в первую очередь. В случае, если мероприятие завершено, отметьте его выполнение в плане действий.

Шаг 5. Пересмотр оценки рисков и ее усовершенствование при необходимости:

Лишь немногие рабочие места остаются неизменными. Рано или поздно применение нового оборудования, новых химических веществ и процедур может привести к возникновению новых угроз. Поэтому имеет смысл проводить пересмотр того, что делается на текущей основе. Работодатель по мере необходимости должен проводить анализ ситуации, с тем, чтобы убедиться, что он все еще проводит усовершенствования или, по крайней мере, не откатывается назад.

Посмотрите на оценку рисков еще раз. Произошли ли какие-либо изменения? Есть ли еще необходимость в усовершенствованиях? Не обнаружили ли работники какую-либо новую проблему?

Не извлек ли работодатель новые уроки из каких-либо несчастных случаев или ситуаций, близких к ним? Убедитесь, что оценка рисков отвечает требованиям времени.

По мере выполнения мероприятий, если полученный уровень риска удовлетворяет требованиям безопасности, приемлем, то оценка риска завершена. Если полученный уровень риска не удовлетворяет требованиям безопасности, то определяем новую оценку риска согласно алгоритму оценки риска, размещенному в Приложении 3.

Периодичность оценки риска можно разработать согласно Примерной шкале оценки профессионального риска по годам (можно разработать такую шкалу на год), по мере необходимости или по показателям; для отдельных групп работников - по цехам, структурным подразделениям или по предприятию в целом в зависимости от численности работающих, согласно таблице 4.1., размещенному в Приложении 4.

На заключительном этапе следует осуществить контроль и корректировку проводимых мероприятий. Причем корректировка должна увязываться с эффективностью мероприятий по снижению уровня профессиональных рисков, а также с финансовым состоянием предприятия. Контрольные функции при этом должны осуществлять не только ответственные структурные подразделения, но также и профсоюз (иной представительный работниками орган).

Не следует чрезмерно усложнять процесс оценки рисков. Необходимо все время помнить, в чем заключается цель оценки рисков - в улучшении условий для здоровья и безопасности работников на рабочем месте - и стараться избегать проведения оценки рисков как таковой лишь как самоцели.

В настоящее время в России сформулирована концепция реформы системы охраны труда до 2025 г. и предприняты масштабные меры по модернизации системы охраны труда и обязательного социального страхования на основе применения системного подхода ко всему спектру проблем, связанных с улучшением условий труда и состояния здоровья работников. Подготовлены ряд проектов, включающих руководство, методики оценок и регламенты выполнения работ, такие как:

Методика интегральной оценки условий труда на рабочем месте с учетом комплексного воздействия производственных факторов с различными классами вредности;

Методика расчета вероятности утраты работником трудоспособности в зависимости от состояния условий труда на рабочем месте;

Методика расчета индивидуального профессионального риска в зависимости от условий труда и состояния здоровья работника;

Методика расчета интегрального показателя уровня профессионального риска в организации;

Руководство «Гигиенические критерии оценки и классификации условий труда для целей аттестации рабочих мест и оценки профессиональных рисков»;

Регламент по идентификации опасностей и оценке рисков травмирования на рабочих местах с вредными и опасными условиями труда, включая классификатор (каталог) опасностей;

Регламент проведения производственного контроля условий труда на рабочих местах (мониторинга);

Система регламентов и стандартов «Документированные процедуры и стандарты организации и проведения аттестации рабочих мест и оценки профессиональных рисков».

При этом формируется полноценная система управления профессиональными рисками, основанная на идентификации всех опасностей на рабочих местах, их количественной оценке и ведении соответствующих записей, мониторинге проводимых изменений с последующим установлением взаимосвязей состояния условий труда и состояния здоровья работников на основе определения индивидуальных профессиональных рисков работников.

Анализ и прогноз производственного травматизма

Оценка риска делается для оперативного принятия мер по снижению и ограничению способности превращения профессиональных рисков в несчастные случаи на производстве и профессиональные заболевания...

Декларация промышленной безопасности термического цеха

В целом по предприятию условия труда на рабочих местах соответствуют санитарным требованиям, а технологический процесс соответствует правилам техники безопасности и эксплуатации электроустановок. Серьезных нарушений не выявлено...

Организация медико-санитарного обеспечения населения при чрезвычайных ситуациях природного техногенного характера

Под этапом медицинской эвакуации понимают формирования и учреждения службы медицины катастроф, а также лечебные учреждения, развернутые (функционирующие) на путях медицинской эвакуации пораженных и обеспечивающие их прием...

Организация мониторинга пожарной безопасности на объектах Комсомольской дистанции гражданских сооружений Комсомольского отделения ДВОСТжд

Возможности системы пожарной сигнализации должны позволять решать задачи поэтапного строительства сетей пожарной сигнализации для предприятий, имеющих объекты, расположенные в одном месте или разнесенные территориально...

Основы устойчивого функционирования экономики в ЧС

Для оценки устойчивости функционирования предприятия начальником гражданской обороны объекта экономики, штабом ГОЧС ОЭ и главными специалистами проводятся специальные исследования. Работа проводится в 4 этапа: 1. Подготовительный. 2...

Оценивание риска на объекте "Реконструкция системы ППД Северокамского месторождения"

Процесс проведения анализа риска включает следующие основные этапы: - идентификацию опасностей; - оценку риска; - разработку рекомендаций по уменьшению риска...

Оценка пожарных рисков

27. Результаты расчетов оценки пожарного риска обосновываются и оформляются таким образом, чтобы выполненные расчеты и выводы могли быть проверены и повторены специалистами, которые не участвовали при первоначальной оценке. 28...

Пожарная техника

Под эксплуатацией пожарных рукавов понимается их использование для выполнения оперативных задач, техническое обслуживание, ремонт, учёт и хранение. Особенно важным этапом эксплуатации пожарных рукавов является их использование...

Проблема ядерного вооружения в XXI веке

Усилия советских ученых увенчались взрывом советской ядерной бомбы 29 августа 1949 года. Эта дата - окончание монополии США в ядерной сфере. Однако она не стала датой окончания соревнований стран...

Расчет пожарного риска молодежно-развлекательного центра "Рим"

В соответствии с п.2 правил проведения расчетов по оценке пожарного риска расчеты проводятся путем сопоставления расчетных величин пожарного риска с соответствующими нормативными значениями пожарных рисков...

Сигнал "Воздушная тревога" и действия населения при его объявлении

1 этап исследования - анализируют устойчивость и уязвимость его элементов в условиях ЧС, оценивают опасность выхода из строя или разрушения элементов или всего объекта в целом...

Состояние мира опасностей на различных этапах развития деятельности населения

Основными этапами развития человеческой деятельности можно выделить: Период собирательства и охоты. Естественные опасности: температура среды, ветер, осадки, грозовые разряды, стихийные бедствия и прочие природные явления...

Теория управления. Принципы системного анализа

Анализ и синтез присущи человеческому мышлению. Их единство позволяет познавать мир. Суть анализа состоит в разделении целого на части, в представлении сложного в виде совокупности более простых компонент...

Техника безопасности при сборе, выезде, следовании на пожар, возвращении в часть

Практика была пройдена в ПЧ - 77 ФГКУ " 11 отряд ФПС по Республике Башкортостан". 1. Инструктаж 2. Изучение истории пожарной части. 3. Ознакомление со структурой пожарной части. 4. Ознакомление с ООГПН. 5. Работа с документацией ООГПН...

1. Общие положения

Риск это влияние неопределенности на достижение целей.

Любое управленческое решение принимается в условиях риска, вызванного неполнотой информации об объекте управления и окружающей его среде и ограничением времени на его принятие. Среда принятия решений варьируется в зависимости от степени риска. Условия определенности существуют только тогда, когда руководитель точно знает результат, который будет иметь каждый выбор. В условиях риска вероятность результата каждого решения можно определить только с известной достоверностью. Если информации недостаточно для прогнозирования уровня вероятности результатов в зависимости от выбора, условия принятия решения являются неопределенными. В условиях неопределенности руководитель на основе анализа рисков должен установить допустимость возможных рисков и их последствий.

Управление и риск не отделимы. Риски управления организацией это риски целеполагания, маркетинга и менеджмента организации.

Риск целеполагания - это возможность неправильного определения целей организации. При неправильно определенных и поставленных целях деятельность организации не может быть успешной.

Риск маркетинга - это возможность отклонений в результатах деятельности организации при неправильном определении неопределенностей рыночных условий – выборе ниши и позиционировании организации и ее продукции на рынке.

Риски менеджмента - это возможность неправильных действий в процессе достижения поставленных целей.

Риск менеджмент явно или не явно изначально присутствует во всех стандартах на системы менеджмента минимум как предупреждающие действия.

В риск-менеджменте принято выделять несколько ключевых этапов:

Выявление риска, его анализ и оценка вероятности его реализации и масштаба последствий;

Выбор методов и инструментов управления выявленным риском;

Разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;

Реализация риск-стратегии;

Оценка достигнутых результатов и корректировка риск-стратегии.

Место возникновения рисков:

Общая классификация рисков:

Виды рисков по роду опасности:

• Техногенные риски - это риски, связанные с хозяйственной деятельностью человека (например, загрязнение окружающей среды).
• Природные риски - это риски, не зависящие от деятельности человека (например, землетрясение).
• Смешанные риски - это риски, представляющие собой события природного характера, но связанные с хозяйственной деятельностью человека (например, оползень, связанный со строительными работами).

Виды рисков по сферам проявления:

• Политические риски - это риски прямых убытков и потерь или недополучения прибыли из-за неблагоприятных изменений политической ситуации в государстве или действий местной власти.
• Социальные риски - это риски, связанные с социальными кризисами.
• Экологические риски - это риски, связанные с вероятностью наступления гражданской ответственности за нанесение ущерба окружающей среде, а также жизни и здоровью третьих лиц.
• Коммерческие риски - это риски экономических потерь, возникающие в любой коммерческой, производственно-хозяйственной деятельности. В состав коммерческих рисков включают финансовые риски (связанные с осуществлением финансовых операций) и производственные риски (связанные с производством продукции (работ, услуг), осуществлением любых видов производственной деятельности). Сюда можно отнести и риски информационной безопасности.
• Профессиональные риски - это риски, связанные с выполнением профессиональных обязанностей, профессиональной безопасности, охраны труда и здоровья и т.д.

Виды рисков по возможности предвидения:

• Прогнозируемые риски - это риски, которые например связаны с циклическим развитием экономики, сменой стадий конъюнктуры финансового рынка, предсказуемым развитием конкуренции и т.п. Предсказуемость рисков носит относительный характер, так как прогнозирование со 100%-ным результатом исключает рассматриваемое явление из категории рисков. Например, инфляционный риск, процентный риск и некоторые другие их виды.
• Непрогнозируемые риски - это риски, отличающиеся полной непредсказуемостью проявления. Например, форс- мажорные риски, налоговый риск и др.

Соответственно этому классификационному признаку риски подразделяются также на регулируемые и нерегулируемые в рамках предприятия.

Виды рисков по источникам возникновения:

• Внешний (систематический или рыночный) риск - это риск, не зависящий от деятельности предприятия. Этот риск возникает при смене отдельных стадий экономического цикла, изменении конъюнктуры финансового рынка и в ряде других случаев, на которые предприятие в своей деятельности повлиять не может. К этой группе рисков могут быть отнесены инфляционный риск, процентный риск, валютный риск, налоговый риск.
• Внутренний (несистематический или специфический) риск - это риск, зависящий от деятельности конкретного предприятия. Он может быть связан с неквалифицированным финансовым менеджментом, неэффективной структурой активов и капитала, чрезмерной приверженностью к рисковым (агрессивным) операциям с высокой нормой прибыли, недооценкой хозяйственных партнёров и другими факторами, отрицательные последствия которых в значительной мере можно предотвратить за счёт эффективного управления рисками.

Виды рисков по размеру возможного ущерба:

• Допустимый риск - это риск, потери по которому не превышают расчётной суммы прибыли по осуществляемой операции.
• Критический риск - это риск, потери по которому не превышают расчётной суммы валового дохода по осуществляемой операции.
• Катастрофический риск - это риск, потери по которому определяются частичной или полной утратой собственного капитала (может сопровождаться утратой заёмного капитала).

Виды рисков по комплексности исследования:

• Простой риск характеризует вид риска, который не расчленяется на отдельные его подвиды. Например, инфляционный риск.
• Сложный риск характеризует вид риска, который состоит из комплекса подвидов. Например, инвестиционный риск (риск инвестиционного проекта и риск конкретного финансового инструмента).

Виды рисков по финансовым последствиям:

• Риск, влекущий только экономические потери, несёт только отрицательные последствия (потеря дохода или капитала).
• Риск, влекущий упущенную выгоду, характеризует ситуацию, когда предприятие в силу сложившихся объективных и субъективных причин не может осуществить запланированную операцию (например, при снижении кредитного рейтинга предприятие не может получить необходимый кредит).
• Риск, влекущий как экономические потери, так и дополнительные доходы («спекулятивный финансовый риск»), присущ, как правило, спекулятивным финансовым операциям (например, риск реализации реального инвестиционного проекта, доходность которого в эксплуатационной стадии может быть ниже или выше расчётного уровня).

Виды рисков по характеру проявления во времени:

• Постоянный риск характерен для всего периода осуществления операции и связан с действием постоянных факторов. Например, процентный риск, валютный риск и т. п.
• Временный риск характеризует риск, носящий перманентный характер, возникающий лишь на отдельных этапах осуществления финансовой операции. Например, риск неплатёжеспособности предприятия.

Виды рисков по возможности страхования:

• Страхуемые риски - это риски, которые могут быть переданы в порядке внешнего страхования соответствующим страховым организациям.
• Нестрахуемые риски - это риски, по которым отсутствует предложение соответствующих страховых продуктов на страховом рынке.

Состав рисков этих рассматриваемых двух групп очень подвижен и связан не только с возможностью их прогнозирования, но и с эффективностью осуществления отдельных видов страховых операций в конкретных экономических условиях при сложившихся формах государственного регулирования страховой деятельности.

Виды рисков по частоте реализации:

• Высокие риски - это риски, для которых характерна высокая частота наступления ущерба.
• Средние риски - это риски, для которых характерна средняя частота нанесения ущерба.
• Малые риски - это риски, для которых характерна малая вероятность наступления ущерба.

2. Общие принципы анализа рисков

Для определения источников риска и его видов необходимо наличие надежного информационного обеспечения. Вся информация о характеристиках отдельных рисков может быть получена из различных источников: разовых и постоянных, официальных и неофициальных, приобретенных и полученных, достоверных и сомнительных, и так далее. В то же время, информация, используемая в риск-менеджменте, должна быть максимально достоверной, полноценной и своевременной. Источниками информации для определения рисков могут быть:

1. Внешние:

• Статистические экономические, политические и демографические данные;
• Прогнозная информация;
• Сведения в СМИ.

2. Внутренние:

• Данные о процессах организации;
• Финансовые данные;
• Материалы ревизий и аудита;
• Данные маркетинговых исследований;
• Личный опыт руководителей организации.

Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный. Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска организации в целом.

Процесс анализа рисков охватывает различные аспекты работы с риском, от идентификации и анализа опасности до оценки допустимости риска и определения потенциальных возможностей снижения риска посредством выбора, реализации и контроля соответствующих управляющих действий.

Анализ риска представляет собой структурированный процесс, целью которого является определение, как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы. В качестве неблагоприятных последствий рассматривается вред и убытки, наносимый людям, имуществу или окружающей среде.

Посредством проведения анализа риска предпринимаются попытки ответить на три основных вопроса:

что угрожает (идентификация опасности);

с какой вероятностью это может произойти (анализ частоты);

каковы последствия этого события (анализ последствий).

Результаты анализа риска могут использоваться руководителями, принимающим решение при оценке допустимости риска, а также при выборе между потенциальными мерами по снижению или устранению риска. С точки зрения принимающего управленческое решение, к основным достоинствам анализа риска относятся:

систематическая идентификация потенциальных опасностей;

систематическая идентификация возможных видов отказов;

количественные оценки и/или качественное ранжирование рисков;

выявление факторов, обуславливающих риск, и слабых звеньев в системе;

более глубокое понимание устройства и функционирования системы;

достижения предпочтительных уровней надежности системы управления;

сопоставление риска исследуемой системы с рисками альтернативных систем или технологий;

идентификация и сопоставление рисков и неопределенностей;

помощь в установлении приоритетов при совершенствовании требований и норм;

формирование базы для рациональной организации профилактического обслуживания, ремонта и контроля;

обеспечение возможности поставарийного расследования и мер по предупреждению аварий;

возможность выбора мер и приемов по обеспечению снижения риска.

Анализ риска является частью оценки риска и процесса управления риском, и состоит из определения области применения, идентификации опасности и оценки величины риска.

Общей задачей анализа риска является обоснование решений, касающихся риска. Эти решения могут приниматься как часть более крупного процесса управления рисками посредством сопоставления результатов анализа риска с критериями допустимого риска.

Анализ рисков должен быть направлен на выявление и устранение, и/или снижение до допустимого уровня риска, угрожающего деятельности организации путем сбалансированное распределение ресурсов и реального контроля рисков и снижения их степени.

Для повышения эффективности и объективности анализа риска и обеспечения сопоставимости с другими результатами по анализу риска необходимо соблюдать следующие общие правила, - процесс анализа риска должен осуществляться в соответствии со следующими этапами:

а) определение области применения;

б) идентификация опасности и предварительная оценка последствий;

в) оценка величины риска;

г) проверка результатов анализа;

д) документальное обоснование;

е) корректировка результатов анализа с учетом последних данных.

Оценка риска включает проведение анализа частот и анализа последствий.

Возможный порядок проведения анализа риска приведен на схеме:

Необходимым требованием анализа и оценки риска является скрупулезное знание системы и используемых методов анализа. В том случае, если имеются результаты анализа риска для похожей системы, они могут быть использованы в качестве справочного материала. При этом необходимо доказать, что процессы являются похожими, и что внесение изменений не вносит существенных различий в результаты. Выводы должны основываться на систематической оценке изменений и на том, каким образом они могут влиять на существующие опасности.

Аналитики, участвующие в анализе риска, должны быть достаточно компетентными. Зачастую анализируемая система слишком сложна для работы одного человека, поэтому для выполнения анализа требуется группа аналитиков.

Аналитики должны знать методы, используемыми для анализа риска и должны располагать достаточными знаниями о системе и ее рисках. При необходимости для проведения анализа должны быть представлены и использованы другие необходимые сведения. Заключение специалистов рабочей группы должно быть документально зафиксировано.

Если анализ риска используется для обеспечения непрерывного процесса управления риском, его необходимо выполнять и документировать таким образом, чтобы он мог корректироваться на протяжении всего жизненного цикла системы или деятельности. Анализ должен обновляться по мере поступления новой информации и в соответствии с потребностями процесса управления.

Для выработки плана анализа риска область применения анализа риска должна быть определена и документально установлена. Определение области применения анализа риска должно включать в себя следующие этапы:

а) Описание оснований и/или проблем, повлекших проведение анализа риска.

Это предусматривает:

формулировку задач анализа риска, основанных на внушающих тревогу идентифицированных потенциальных опасностях;

определение критериев работоспособности/отказа системы.

б) Описание исследуемой системы. Это должно включать в себя:

общее описание системы;

определение границ и областей контакта со смежными системами;

описание условий окружающей среды;

определение рабочих условий и состояний системы, на которые распространяется анализ риска, и соответствующие ограничения.

в) Установление источников, предоставляющих подробную информацию обо всех технических, связанных с окружающей средой, правовых, организационных и человеческих факторах, имеющих отношение к анализируемым действиям и проблеме. В частности, должны быть описаны любые обстоятельства, касающиеся безопасности.

г) Описание используемых предположений и ограничивающих условий при проведении анализа.

д) Разработка формулировок решений, которые могут быть приняты, описание требуемых выходных данных, полученных по результатам исследований и от лиц, принимающих решения.

Задача по определению области применения анализа риска должна предусматривать тщательное ознакомление с анализируемой системой. Одна из целей ознакомления - это определение источников и методов использования специализированной информации.

Элементы процесса оценки величины риска являются общими для всех видов опасности. Прежде всего, анализируются возможные причины опасности с целью определения частоты ее возникновения, продолжительности, а также характера.

В процессе анализа может возникнуть необходимость определения оценки вероятности опасности, вызывающей последствия, и проведения анализов последовательности обуславливающих событий.

3. Качественный анализ рисков

Для решения поставленной задачи должны быть идентифицированы опасности, являющиеся причиной риска, а также пути, по которым эти опасности могут реализовываться.

Известные опасности должны быть четко и точно определены. Для идентификации опасностей, не учитываемых ранее при проведении анализа, должны применяться формальные методы.

Предварительную оценку значения идентифицированных опасностей необходимо выполнять, основываясь на анализе последствий и изучении их основных причин.

Предварительная оценка значения идентифицированных опасностей определяет выбор последующих действий:

а) принятие немедленных мер с целью исключения или уменьшения опасностей;

б) прекращение анализа, поскольку опасности или их последствия являются несущественными;

в) переход к оцениванию риска.

Исходные допущения и результаты должны быть документально зафиксированы.

Идентификация опасности предполагает систематическую проверку исследуемой системы с целью идентификации типа присутствующих неустранимых опасностей и способов их проявления. Статистические записи о действии рисков и опыт предшествующих анализов риска могут обеспечить полезный вклад в процесс идентификации опасности. Следует признать, что существует элемент субъективизма во мнениях об опасностях и что идентифицированные опасности не всегда могут быть в исчерпывающей мере теми опасностями, которые могли бы представлять угрозу для системы. Необходимо, чтобы идентифицированные опасности подвергались пересмотру при поступлении новых данных. Методы идентификации опасности в широком смысле делятся на три категории:

а) сопоставительные методы, примерами которых являются ведомости проверок, индексы опасностей и обзор данных эксплуатации;

б) фундаментальные методы, которые построены таким образом, чтобы стимулировать группу исследователей к использованию прогноза в сочетании с их знаниями по отношению к задаче идентификации опасностей путем постановки ряда вопросов типа «А что, если... ?»;

в) способы индуктивного подхода, такие как логические диаграммы возможных последствий данного события (логические диаграммы «дерева событий»).

С целью усовершенствования идентификации опасности (и возможностей оценки риска) применительно к определенным проблемам могут использоваться другие приемы.

Независимо от применяемых приемов важно, чтобы в общем процессе идентификации опасности должное внимание было уделено тому, что человеческие и организационные ошибки являются существенными факторами во многих аварийных ситуациях. Отсюда следует, что сценарии аварийной ситуации, предусматривающие человеческую и организационную ошибку, также должны быть включены в процесс идентификации опасности, который не должен быть направлен исключительно на технические аспекты.

На практике идентификация опасности, исходящей от конкретной системы, оборудования или деятельности, может давать в качестве результата очень большое число сценариев потенциальных аварий. Детализированный количественный анализ частот и последствий не всегда осуществим. В таких ситуациях может оказаться целесообразным качественное ранжирование сценариев, помещение их в матрицы риска, указывающие различные уровни риска.

Степень угрозы фактора опасности определяет серьезность событий.

Определение угрозы фактора опасности должно включать в себя:

выявление угроз факторов опасности;

анализ угроз факторов опасности;

документирование угроз факторов опасности.

Выявление угроз производится как на основе внешней информации, так и на основе анализа контента организации и ее внешней среды.

Матрица качественной классификации степени угрозы фактора опасности приведена в таблице:

Определение	Значение	Степень
Катастрофический	Потеря бизнеса Многочисленные человеческие жертвы
Опасный	Существенное уменьшение «запаса прочности», не позволяющий гарантировать четкого и полного выполнения организацией своих задач. Серьезные травмы большого количества людей. Крупные финансовые потери.
Значительный	Существенное уменьшение «запаса прочности», снижение способности организации преодолевать неблагоприятные условия как результат повышения рабочей нагрузки или вследствие условий, снижающих эффективность их работы. Серьезный инцидент. Травмы физических лиц.
Незначительный	Помехи. Эксплуатационные ограничения. Использование аварийных процедур. Возможность инцидента.
Ничтожный	Малозначительные последствия

При проведении анализа необходимо снижать, а по возможности исключать субъективность анализа рисков.

Анализ частот используется для оценки вероятности каждого выявленного нежелательного события, установленного на стадии идентификации опасности. Для оценки частот происходящих событий обычно применяются следующие три подхода:

а) использование имеющихся статистических данных (предыстория);

б) получение частот происходящих событий на основе аналитических или имитационных методов;

в) использование мнений экспертов.

Все эти технические приемы могут применяться по отдельности или совместно.

Первые два подхода являются взаимодополняющими, - каждый имеет сильные стороны там, где другой имеет слабые. Повсюду, где это возможно, должны применяться оба подхода. Таким образом, они могут использоваться для взаимных проверок. Это может служить повышению степени достоверности результатов. В тех случаях, когда данные подходы не могут использоваться, либо являются недостаточными, рекомендуется привлекать мнения экспертов.

Целью анализа частот является определение частоты каждого из нежелательных событий или сценариев аварий, выявленных на стадии идентификации опасности. Обычно используются три основных подхода:

а) использование соответствующих данных эксплуатации с целью определения частоты, с которой данные события происходили в прошлом, и, исходя из этого, определение оценок частоты, с которой они могут произойти в будущем. Используемые данные должны соответствовать типу системы, оборудования или деятельности, подлежащих рассмотрению;

б) прогнозирование частот событий с использованием таких технических приемов, как анализ диаграммы всех возможных последствий несрабатывания или аварии системы («дерева неисправностей») и анализ диаграммы возможных последствий данного события («дерева событий»). В том случае, когда статистические данные недоступны или не соответствуют требованиям, необходимо получить частоты событий посредством анализа системы и ее аварийных состояний. Числовые данные для соответствующих событий, в том числе данные о неисправности оборудования и ошибке человека, взятые из опыта эксплуатации или опубликованных данных, используются для определения оценки частоты нежелательных событий. При использовании методов прогнозирования важно обеспечить уверенность в том, что при анализе была учтена возможность нарушений режима работы системы, а также ее частей или компонентов, которые должны функционировать в случае возникновения отказов системы.;

в) использование мнения экспертов. Существует ряд методов для составления экспертного мнения, которые исключают двусмысленность оценок, помогают в постановке соответствующих вопросов.

Вероятность возникновения
Количественное определение	Имеется ввиду
Частое	Может возникать многократно (уже возникало часто)	5
Периодическое	Может возникать время от времени (возникало эпизодически)	4
Редкое	Маловероятно, но может возникнуть (возникало редко)	3
Маловероятное	Очень малая вероятность возникновения (случаи возникновения неизвестны)	2
Почти невозможно	Почти невозможно представить ситуацию, в которой происшествие может возникнуть	1

Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием.

Анализ последствий должен:

а) основываться на выбранных нежелательных событиях;

б) описывать любые последствия, являющиеся результатом нежелательных событий;

в) учитывать существующие меры, направленные на смягчение последствий, наряду со всеми соответствующими условиями, оказывающими влияние на последствия;

г) устанавливать критерии, используемые для полной идентификации последствий;

д) рассматривать и учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного периода времени, если это не противоречит сфере распространения исследований;

е) рассматривать и учитывать вторичные последствия, распространяющиеся на смежное оборудование и системы.

Анализ последствий предусматривает определение результатов воздействия на людей, имущество или окружающую среду в случае наступления нежелательного события. Для расчетов рисков, касающихся безопасности полетов, анализ последствий представляет собой приблизительное определение количества АС в том случае, если произойдет нежелательное событие.

Существует множество методов оценки такого рода явлений, диапазон которых простирается от упрощенных аналитических подходов до очень сложных компьютерных моделей. При использовании методов моделирования необходимо обеспечить соответствие той проблеме, которая подлежит рассмотрению.

При проведении анализа риска необходимо установить, отражает ли полученная оценка риска уровень общего риска или является лишь его частью.

При расчете риска необходимо учитывать как продолжительность нежелательного события, так и вероятность того, что люди будут подвергаться его воздействию.

Возможная Матрица рисков приведена в таблице:

Вероятность возникновения риска	Серьезность риска
	Катастрофическая	Угрожающая	Крупная	Малая	Незначительная
5 – Частая
4 – Эпизодическая
3 – Отдаленная
2 – Невероятная
1 – Почти невозможная

4. Управления рисками

Управление рисками направлено на снижение негативного воздействия рисков.

Для снижения негативного действия рисков могут применяться следующие методы:

Избежание/уклонение – производственная и иная деятельностьотменяется, поскольку риск превышает выгоду от продолжения этой деятельности.

Сокращение – сокращается частота производственной или иной деятельности, или принимаются меры для уменьшения масштаба последствий допущенного/принятого риска.

Изолирование риска – принимаются меры к тому, чтобы локализовать последствия риска или обеспечить резервирование для защиты от него.

Передача риска – передача риска третьим лицам в случаях, когда воздействие на него со стороны организации невозможна или экономически не оправдана, а уровень риска превышает допустимый. Типичный пример передачи рисков – страхование.

Выбор методов управления риском можно рассматривать как проблему оптимизации в условиях ограничений. Критерии выбора могут быть различными, включая финансово-экономические критерии (обеспечение эффективности). Однако при принятии решения о том, какие методы следует использовать, нельзя все сводить к экономической отдаче. Важно учитывать и другие критерии, например, технические (отражающие технологические возможности снижения риска) или социальные (сведение риска к уровню, приемлемому для общества).

Подход к определению приемлемостиконкретных факторов риска предполагает рассмотрение нижеследующих аспектов:

a) Управленческий фактор . Не противоречит ли данный риск политике и стандартам организации в области безопасности?

б) Фактор финансовой возможности . Не выходит ли характер риска за рамки рентабельного решения?

в) Юридический фактор . Не противоречит ли данный риск действующим стандартам регламентирующего полномочного органа и возможностям в сфере обеспечения исполнения?

г) Культурологический фактор . Как персонал организации и другие участники отнесутся к данному риску?

д) Рыночный фактор . Будут ли конкурентоспособность и благосостояние организации в сравнении с другими компаниями поставлены под угрозу из-за непринятия мер по уменьшению или устранению данного риска?

е) Политический фактор . Придется ли организации заплатить политическую цену в связи с непринятием мер по уменьшению или устранению данного риска?

ж) Общественный фактор . Насколько большое влияние окажут СМИ или особо заинтересованные группы на общественное мнение в связи с данным риском?

Для управления рисками надо учитывать что:

Система управления рисками является частью общего менеджмента организации;

Особенности управления рисками требуют специализированных знаний при принятии решений для их управления;

При управлении риском необходимо учитывать имеющиеся внешние и внутренние ограничения организации;

В отношении всех рисков должна проводиться единая политика, что требует комплексного и одновременного управления всеми рисками организации;

Процесс управления рисками носит непрерывный динамический характер.

Более подробный разбор действий по управлению рисками требует отдельной статьи, как и количественный анализ рисков.

Посвятили активности идентификации рисков.

Сегодня мы хотим поговорить про виды анализов рисков и обосновать необходимость их применения при определенных условиях.

Рассматриваемая тема будет особо актуальна для тех коллег, кто уже столкнулся с практикой отечественных предприятий (а вернее её отсутствием), которая демонстрирует, что только относительно небольшая часть из них выполняют анализ и последующее обоснование того, как управлять риском в процессе внедрения новых проектов или сопровождения текущей деятельности.

Введение

На сегодняшней день множественная типизация рисков, вызванная неоднородностью самого этого понятия, и природы его возникновения, привела к появлению и существованию большого числа способов по их анализу и дальнейшим методам по работе с ними, на разных этапах жизненного цикла, начиная с момента появления возможности возникновения до конечного/промежуточноконечного состояния.

Различные по своим причинам/характеристикам/ и т.д. риски имеют строгоопределенные или рекомендованные тактики и стратегии по их обработке. Каждая их таких видов активностей должна содержать в себе один или несколько подходов, любой из которых основан на четком алгоритме. Такие подходы к исследованию явных, скрытых или потнециальных причин рисков принято называть видами анализа рисков.

Анализ рисков. Идентификации ИТ активов

Введем понятие анализа рисков:

Анализ рисков - процедуры выявления факторов рисков и оценки их значимости на конкретное событие, группу событий, систему.

По сути, анализ рисков – это анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение поставленных целей.

Анализ рисков, в сфере информационных технологий, состоит из оценки риска, по определенным метрикам, методы работы с рисками, такие, как снижение риска, его игнорирование, уменьшения связанных с ним неблагоприятных последствий и т.д.

Анализ рисков в области ИТ, связан, прежде всего, с созданием/развитием/ вводом в эксплуатацию/ выводом из эксплуатации/сопровождением и т.д. информационных систем (ИС), технологий и любых других ИТ активов, сопровождающих домен информационных технологий конкретного предприятия.

ИТ Активы – это все артефакты, имеющие определенную ценность для организации, использующей их в своей деятельности. Активы могут быть выражены как в конкретном стоимостном значении, так и не иметь четко определенной ценности, в актуальный момент времени.

Все ИТ активы, прямо или косвенно участвуют в формировании дохода предприятия или создании конечного продукта/сервиса, от реализации которого зависит успех организации (сотрудники, техника, уникальные процессы, сервера и т.д.).

От правильного учета и управления ИТ активами, зависит степень подверженности того или иного процесса, использующего данные активы, рисковому влиянию. Особо важные и критичные активы должны быть идентифицированы, оценены и задокументированы, в соответствии со спецификой бизнеса, в котором проводится анализ рисков (минимально достаточным документом является реестр активов по аналогии с уже рассмотренным реестром рисков).

При идентификации ИТ активов необходимо учитывать их комплексность и возможную взаимосвязанность с другими видами активов. Установление подобных связей позволит добиться прозрачности процессов и ресурсов, которые их используют. Это, в свою очередь, окажет влияние как на оптимизацию и повышение качества процедур классификации и идентификации рисков, рассмотренных нами ранее, так и на активности, связанные с последующими стадиями процесса анализа и управления рисками, такими, как качественный и количественный анализы рисков, создание комплексной системы по работе с рисками и т.д.

Каждый актив должен иметь владельца, в обязанности которого должно входить управление и контроль за подотчетный ему актив. Это позволит предварить и избежать появления возможных коллизий, связанных с нерегламентированным, неправомерным, низкоэффективным использованием актива, при условии осведомленности и квалифицированности его «хозяина».

Конечно, при идентификации активов необходимо помнить цели, преследуемые процессом анализа и управления рисками, чтобы не «впасть в крайности» и не отклониться от поставленных задач. В процессе идентификации, у неопытного специалиста, может появиться соблазн включить и описать, как можно больше активов. Необходимо помнить о том, что над каждым описанным активом надо провести довольно скрупулезную работу по его описанию и вести дальнейшее поддержание созданной документации в актуальном состоянии.

После того, как активы выявлены, наступает этап выявления и оценки рисков, влияющих на определенный актив.

Оценка информационных рисков

Оценка информационных рисков – процедура ранжирования приоритета конкретных условий и факторов, которые могут стать причиной нарушения целостности системы.

При оценивании рисков, влияющих на определенные активы, учитываются многие факторы: ценность актива, значимость угроз, эффективность имеющихся и планируемых ресурсов актива. Факторы зависят от конкретной ситуации, вида актива и риска.

В свете изучаемого материала стоит сразу привести альтернативное определение понятия оценки:

Оценка информационных рисков - это определение количественным и/или качественным способом величины (степени) рисков. Количественные и качественные виды анализов будут рассмотрены нами далее.

Стоит сделать небольшое лирическое отступление и провести экскурс в актуальное состояние дел, связанных с активностью анализа риска в целом, и его оценки, в частности, в РФ. То, что современные технологии анализа рисков, мягко говоря, в России используются сравнительно редко, было показано нами ранее. Одна из основных причин такого положения состоит в том, что в руководящих документах, на большинстве законодательных уровней, как в государственном масштабе, так и на уровне частного предпринимательства, не рассматриваются аспекты рисков, их допустимый уровень и то, что на наш взгляд самое главное, ответственность за принятие определенного уровня рисков.

Риск, при первичном выявлении, это во многом интуитивное понятие, которое каждый подсознательно или осознанно учитывает, принимая то или иное решение. То, что о рисках не говорят, это не значит, что их нет. Риски появляются, вместе с появлением активов и соответственно, появляется ответственность, которая должна быть четко и однозначно персонифицирована. Только при таком подходе можно говорить о том, что система по анализу и управлению рисками будет приносить результаты. Принимать и игнорировать правильно только те риски, которые идентифицированы, исследованы и оценены, как не критичные, для конкретного случая или системы.

Оценка риска должна обеспечить понимание возможного масштаба проблем, событий и принятие решений о том, каким образом надо обрабатывать тот или иной риск.

Оценка может быть выполнена с различной степени детализации, используя один или несколько методов. Форма оценки и её результат должны быть совместимы с критериями риска для определенной ситуации и применяемого метода, который должен удовлетворять таким условиям, как:

• Тип организации;
• Окружение потенциально «ущербной» ситуации;
• Форма результатов должна повышать осведомленность о виде риска и его периодичности;
• Верификация причин, процесса и результатов;

Так же, при выборе способа оценки риска необходимо учитывать такие характеристики окружения риска, свойственного определенному активу, как:

• Цели организации;
• Цели исследования риска;
• Ответственность возможных вариантов решения;
• Тип риска и его характеристики;
• Последствия от риска, в случае его реализации;

При оценке риска следующие факторы влияют на полноту и качество получаемых результатах о риске:

• Степень качества и полноты используемых экспертиз;
• Доступность однозначной и непротиворечивой информации о риске, и его окружении;
• Необходимость в периодичном обновлении данных о риске;
• Временные и ресурсные ограничения на процедуру оценки рисков;

Необходимо помнить о том, что такая характеристика, как неопределенность, может быть неотъемлема от целей организации, для которой проводится оценка риска. Данные, на основе которых проводится оценка, не всегда могут обеспечить достоверность процедуры прогнозирования. В целях совершенствования качества активностей по работе с рисками, и однозначном понимании полученных результатов, стэйкхолдеры (лица принимающие решения) и исполнители процессов по анализу и управлению рисками должны поддерживать постоянный контакт и взаимное информирование друг друга данными, необходимыми для сопровождения «рисковой» составляющей.

Задача оценки конкретного риска может быть довольно сложной, в зависимости от параметров, сопровождающих актив, который подвержен риску. К примеру, в сложных информационных системах оценка риска, как инкапсулированной составляющей, будет некорректна. Каждая часть информационной системы не существует сама по себе, а связана с другими компонентами и частями. Это приводит к тому, что один компонент, подверженный риску, ставит «под угрозу» связанные с ним элементы и связи, по которым осуществляется взаимодействие между ними, а так же все компоненты, являющиеся потребителями результатов процессов, в деятельности которых задействован рисковый элемент.

Методы оценки рисков имеют множественную классификацию для обеспечения понимания их преимуществ и недостатков. Мы перечислим методы, приведенные в ГОСТ Р ИСО/МЭК 31010-2011. При желании наши уважаемые коллеги могут более подробно с ними познакомиться, изучив упомянутый стандарт:

• Мозговой штурм;
• Структурированные или частично структурированные интервью;
• Метод Делфи;
• Контрольные листы;
• Предварительный анализ опасностей;
• Исследование опасности и работоспособности;
• Анализ опасности и критических контрольных точек;
• Оценка токсикологического риска;
• Структурированный анализ сценариев методом «что, если?» (SWIFT);
• Анализ сценариев;
• Анализ воздействия на бизнес;
• Анализ первопричин;
• Анализ видов и последствий отказов (FMEA);
• Анализ дерева неисправностей;
• Анализ дерева событий;
• Анализ причин и последствий;
• Причинно-следственный анализ;
• Анализ уровней защиты;
• Анализ дерева решений;
• Анализ влияния человеческого фактора;
• Анализ «галстук-бабочка»;
• Техническое обслуживание, направленное на обеспечение надежности;
• Анализ скрытых дефектов;
• Марковский анализ;
• Моделирование методом Монте-Карло;
• Байесовский анализ и сети Байеса;
• Кривые FN;
• Индексы риска;
• Матрица последствий и вероятностей;
• Анализ эффективности затрат;
• Мультикритериальный анализ решения;

Часть из этих методов является более универсальными, другая менее и применимы только для конкретных, узкоспециализированных отраслей (К примеру метод - «Оценка токсикологического риска»), но не перечислить мы их не могли Наиболее применимые для использования на практике в ИТ, мы рассмотрели в прошлой статье.

Подводя итоги процесса оценки риска, мы приведем примерное содержание работ по оценке рисков и их последовательность, которая наиболее полно и оптимально отражает процедуру выполняемых работ, по нашему мнению:

1. Сбор данных и сведений;
2. Формирование цели и задач;
3. Идентификация ИТ активов;
4. Составление реестра ИТ активов, значимых для данной ситуации;
5. Документирование и синтез полученной информации;
6. Обоснование и выбор метода по оценке рисков;
7. Предварительная оценка рисков и масштаба возможных проблем;
8. Выбор наиболее значимых рисков и дальнейший их анализ;
9. Выводы по проведенной работе для руководства. Резюме;
10. Планирование дальнейших работ;

Важнейшей частью работы является резюме рисков, которое необходимо представить руководству, принимающему «жизненноважные решения» по управлению и анализу рисками. На этом этапе работ, в доступной и наглядной форме должны быть описаны самые опасные для конкретной деятельности риски и ИТ активы, которые их «порождают». Дополнительное внимание руководства можно акцентировать на этом документе, приведя в нем возможную величину среднегодового ущерба, перечислив уязвимости, которые будут способствовать появлению заданных рисков.

На этом оценка рисков не заканчивается. Высокоуровневая оценка, расставившая приоритеты, выявившая и обосновавшая группы рисков, которые имеют наибольшее значение для организации, может быть достаточной для организаций, с относительно низкой степенью зависимости от информационных технологий, для остальных же потребуется более низкоуровненая оценка.

Обработка информационных рисков

Оценка информационных рисков дает ответы на вопросы, связанные с информационными активами, направлением защиты от рисков, которым подвержены данные активы и то, от чего именно следует защищаться. После этого успех поставленных целей будет зависеть от того, какая стратегия защиты будет выбрана. Для того, чтобы наиболее оптимально выбрать стратегию защиты риск должен быть «разложен» на качественную и количественную составляющие.

Целью обработки рисков является выявление метрик, с помощью которых становится возможным уменьшить до приемлемого для организации уровня или устранить возможный ущерб.

Итогом процесса обработки риска должно стать решение о том, до какой степени детализации и дальнейших действий над ним, необходимо будет подвергнуть тот или иной риск. Данное решение должно быть принято ответственными исполнителями, в зависимости от имеющейся у них информации, и в дальнейшим пройти согласование с лицами, принимающими решение.

Виды анализа информационных рисков. Обзор

Каждый риск, в зависимости от изученности и степени влияния на анализируемую активность, должен подвергнуться определенному типу исследования. Чем с более сложным, комплексным и малоизученным риском сталкивается организация, тем более подробно он должен быть изучен и исследован.

На текущий момент, наиболее популярным и экономически оправданным является следующая классификация анализов рисков по типам работы над ними:

• качественный;
• количественный.

Качественный и количественный анализы являются взаимно дополняющими видами анализа, представляя собой последовательные этапы единого и самодостаточного процесса работы над рисками.

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту или процессу. При качественном анализе рисков определяются, описываются причины и факторы, влияющий на уровень данного вида риска и его влияние на деятельность в целом. Кроме того, желательно описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить дальнейшие варианты по работе над выявленными рисками. Стоимостная оценка может быть представлена виде абсолютной шкалы, так как цель качественного анализа рисков заключается в верхнеуровневом выявлении рисков.

Данный тип анализа, как правило, проводится на стадии разработки бизнес-плана, а предварительное исследование рисков позволяет сформировать базисную информацию для начала работы над рисками. К дополнительным, но также весьма значимым, результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Количественный анализ рисков предполагает численное определение величин реализации отдельных рисков, выявленных в результате качественного анализа рисков. Методы количественного анализа рисков основаны на строгих математических алгоритмах (метод Монте-Карло), теории вероятности, математической статистике, теории исследований операций и т.д., которые реализуют и поддерживают определение числовых метрик, описывающих возможный потенциальный и явный ущерб от осуществления риска.

Для того, чтобы количественный анализ рисков был выполнен наиболее эффективно и смог достигнуть результатов своего выполнения необходимы два условия:

• наличие проведенного базисного расчета проекта и его последовательностей;
• проведение полноценного качественного анализа.

Таким образом, уместно будет отметить, что количественный анализ рисков выполняется только при условии выполненного качественного анализа рисков. Этот вид анализа является более дорогим и требовательным к исходным данным, по сравнению с качественным, что делает его менее доступным для широкой аудитории специалистов. Количественный анализ рисков целесообразен для выполнения только в крупных компаниях, заинтересованным в «зрелых» и качественных результатах деятельности по работе с рисками.

Выводы

Сегодняшняя статья стала введение в активность анализа рисков, послужив «мостом» между процессом оценки рисков и рассмотрением видов анализа рисков, проводить которые оправданно, в зависимости от целей процесса управления и анализа рисков, которые преследует организация, выполняющая данную активность.

Выбор конкретного метода анализа рисков, по нашему мнению, зависит от следующих факторов, влияющих на качество выполняемой деятельности:

• Полнота и подробность информационной базы исследуемой области;
• Требований к конечным результатам (показателям);
• Уровень квалификации персонала;
• Финансирование;
• и т.д.

Для небольших проектов можно, а в некоторых случаях даже нужно, ограничиться простыми методами анализа рисков, которые оправданны окружением и видом процесса\проекта, для которого осуществляется анализ рисков. В случаях, для которых необходим более тщательный анализ рисков простыми методами будет не ограничиться, и следует привлечь более сложные методики.

Методы анализа рисков следует применять комплексно, используя наиболее простые из них на стадии предварительной оценки (качественный анализ), а сложные и требующие дополнительной информации - при окончательном обосновании выбранного пути проекта или процесса (количественный анализ).

В следующий раз мы посвятим большее количество времени и вашего внимания рассмотрению качественного анализа рисков, сосредоточив Ваше внимание на конкретных методиках и описанию активностей, способствующих данному анализу рисков.

Лекция № 4. «Анализ и оценка рисков»

1. Понятие анализа и оценки рисков. Методы анализа рисков

2. Качественный и количественный анализ рисков

3. Оценка риска на основе целесообразности затрат

4. Вероятностный и экспертный анализ рисков

Вопрос 1. Понятие анализа и оценки рисков. Методы анализа рисков

Анализ рисков - процедуры выявления факторов рисков и оценки их значимости, по сути, анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение целей проекта. Анализ рисков включает оценку рисков и методы снижения рисков или уменьшения связанных с ним неблагоприятных последствий.

Оценка рисков - это определение количественным или качественным способом величины (степени) рисков.

При анализе рисков необходимо использовать некоторые допущения:

· Потери от риска независимы друг от друга.

· Потеря по одному направлению деятельности не обязательно увеличивает вероятность потери по другому (за исключением форс-мажорных обстоятельств).

· Максимально возможный ущерб не должен превышать финансовых возможностей участника.

Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида:

Качественный;

Количественный.

Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска предприятия в целом.

В настоящее время наиболее эффективным является комплексный подход к анализу рисков. С одной стороны, такой подход позволяет получать более полное представление о возможных результатах реализации проекта, т. е. обо всех позитивных и негативных неожиданностях, ожидающих инвестора, а с другой стороны, делает возможным широкое применение математических методов (в особенности вероятностно-статистических) для анализа рисков.

Можно классифицировать существующие методы анализа риска и связанные с ними модели по следующим направлениям:

I. в зависимости от привлечения вероятностных распределений:

· методы без учета распределений вероятностей;

· методы с учетом распределений вероятностей.

II. в зависимости от учета вероятности реализации каждого отдельного значения переменной и проведения всего процесса анализа с учетом распределения вероятностей:

· вероятностные методы;

· выборочные методы.

III. в зависимости от способов нахождения результирующих показателей по построению модели:

· аналитический метод;

· имитационный метод.

Вопрос 2. Качественный и количественный анализ рисков

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту, также определяются и описываются причины и факторы, влияющий на уровень данного вида риска. Кроме того, необходимо описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить мероприятия по минимизации или компенсации этих последствий, рассчитав стоимостную оценку этих мероприятий.

Рассмотрение каждого вида инвестиционного риска можно производить с трех позиций:

1.с точки зрения истоков, причин возникновения данного типа риска;

2.обсуждения гипотетических негативных последствий, вызванных возможной реализацией данного риска;

3.обсуждения конкретных мероприятий, позволяющих минимизировать рассматриваемый риск.

Основными результатами качественного анализа рисков являются:

Выявление конкретных рисков инвестиционного проекта и порождающих их причин,

Анализ и стоимостной эквивалент гипотетических последствий возможной реализации отмеченных рисков,

Предложение мероприятий по минимизации ущерба и их стоимостная оценка.

Этапы качественного анализа рисков :

1.идентификация (определение) возможных рисков;

2.описание возможных последствий (ущерба) реализации обнаруженных рисков и их стоимостная оценка;

3.описание возможных мероприятий, направленных на уменьшение негативного влияния выявленных рисков, с указанием их стоимости;

4.исследования на качественном уровне возможности управления рисками инвестиционного проекта:

Уклонение от рисков;

Компенсация рисков;

Локализация рисков.

Качественный анализ инвестиционных рисков проводится на стадии разработки бизнес-плана, а обязательная комплексная экспертиза инвестиционного проекта позволяет подготовить обширную информацию для начала работы по анализу рисков.

Методы экспертных оценки включают комплекс логических и математико-статистических методов и процедур, связанных с деятельностью эксперта по переработке необходимой для анализа и принятия решений информации. Центральной «фигурой» экспертной процедуры является сам эксперт - это специалист, использующий свои способности (знания, умение, опыт, интуицию и т. п.) для нахождения наиболее эффективного решения.

· обладать достаточным уровнем креативности мышления и необходимыми знаниями в соответствующей предметной области;

· быть свободным от личных предпочтений в отношении проекта (не лоббировать его).

Можно выделить следующие основные методы экспертных оценок, применяемые для анализа рисков:

· Вопросники

· SWOT-анализ

· Роза и спираль рисков

· Оценка риска стадии проекта

· Метод Дельфи

Количественный анализ рисков инвестиционного проекта предполагает численное определение величин отдельных рисков и риска проекта в целом. Количественный анализ базируется на теории вероятностей, математической статистике, теории исследований операций.

Для осуществления количественного анализа проектных рисков необходимы два условия:

Наличие проведенного базисного расчета проекта;

Проведение полноценного качественного анализа.

Наиболее часто на практике применяются следующие методы количественного анализа рисков инвестиционных проектов:

· метод корректировки нормы дисконта;

· анализ чувствительности показателей эффективности (чистый дисконтированный доход , внутренняя норма доходности, индекса рентабельности и др.)

· метод сценариев ;

· имитационное моделирование - метод Монте-Карло .

Вопрос 3. Оценка риска на основе целесообразности затрат

Областью риска называется зона общих потерь рынка, в границах которой потери не превышают предельного значения установленного уровня риска.

Выделяют пять основных областей риска деятельности любого предприятия в условиях рыночной экономики:

Безрисковая область;

Область минимального риска;

Область повышенного риска;

Область критического риска;

Область недопустимого риска.

Область недопустимого риска	Область критического риска	Область повышенного риска	Область минимального риска	Безрисковая область

В границах область критического риска возможны потери, величина которых превышает размеры расчетной прибыли, но не превышает общей величины валовой прибыли . Коэффициент риска в этой области находится в пределах 50-75%. Такой риск нежелателен, поскольку фирма подвергается опасности потерять всю свою выручку от данной операции.

В границах области недопустимого риска возможны потери, близкие к размеру собственных средств, то есть наступление полного банкротства предприятия. Коэффициент риска в этой области находится в пределах 75-100%.

Вопрос 4. Вероятностный и экспертный анализ рисков

Вероятностные методы анализа рисков основываются на знании количественных характеристик рисков, сопровождающих реализацию аналогичных проектов, и учете специфики отрасли, политической и экономической ситуации.

Риск, связанный с проектом, характеризуется тремя факторами:

· событие, связанное с риском;

· вероятность рисков;

· сумма, подвергаемая риску.

Чтобы количественно оценить риски, необходимо знать все возможные последствия принимаемого решения и вероятность последствий этого решения. Выделяют два метода определения вероятности:

1. Объективный метод определения вероятности основан на вычислении частоты, с которой происходят некоторые события. Частота при этом рассчитывается па основе фактических данных.

Так, например, частота возникновения некоторого уровня потерь А в процессе реализации инвестиционного проекта может быть рассчитаны по формуле:

f(A)=n(A)/n

где f - частота возникновения некоторого уровня потерь;

n(A) - число случаев наступления этого уровня потерь;

n - общее число случаев в статистической выборке, включающее как успешно осуществленные, так и неудавшиеся инвестиционные проекты.

2. Субъективная вероятность является предположением относительно определенного результата, основывающемся на суждении или личном опыте оценивающего, а не на частоте, с которой подобный результат был получен в аналогичных условиях.

Важными понятиями, применяющимися в вероятностном анализе рисков являются понятия альтернативы, состояния среды, исхода.

Альтернатива - это последовательность действий, направленных на решение некоторой проблемы. Примеры альтернатив: приобретать или не приобретать новое оборудование, решение о том, какой из двух станков, различающихся по характеристикам, следует приобрести; следует ли внедрять в производство новое изделие и т. д.

Состояние среды - ситуация, на которую лицо, принимающее решение (в нашем случае - инвестор), не может оказывать влияние (например, благоприятный или неблагоприятный рынок, климатические условия и т. д.).

Исходы (возможные события) возникают в случае, когда альтернатива реализуется в определенном состоянии среды. Это некая количественная оценка, показывающая последствия определенной альтернативы при определенном состоянии среды (например, величина прибыли, величина урожая и т. д.).

Экспертный анализ рисков применяют на начальных этапах работы с проектом в случае, если объем исходной информации является недостаточным для количественной оценки эффективности (погрешность результатов превышает 30%) и рисков проекта.

Достоинствами экспертного анализа рисков являются: отсутствие необходимости в точных исходных данных и дорогостоящих программных средствах, возможность проводить оценку до расчета эффективности проекта, а также простота расчетов.

К основным недостаткам данного метода следует отнести: трудность в привлечении независимых экспертов и субъективность оценок.

Эксперты, привлекаемые для оценки рисков, должны:

· иметь доступ ко всей имеющейся в распоряжении разработчика информации о проекте;

· иметь достаточный уровень креативности мышления;

· обладать необходимым уровнем знаний в соответствующей предметной области;

· быть свободными от личных предпочтений в отношении проекта;

· иметь возможность оценивать любое число идентифицированных рисков.

Алгоритм экспертного анализа рисков имеет следующую последовательность:

· по каждому виду рисков определяется предельный уровень, приемлемый для организации, реализующей данный проект. Предельный уровень рисков определяется по сто балльной шкале;

· устанавливается, при необходимости, дифференцированная оценка уровня компетентности экспертов, являющаяся конфиденциальной. Оценка выставляется по десятибалльной шкале;

· риски оцениваются экспертами с точки зрения вероятности наступления рискового события (в долях единицы) и опасности данных рисков для успешного завершения проекта (по сто балльной шкале);

· оценки, проставленные экспертами по каждому виду рисков, сводятся разработчиком проекта в таблицы. В них определяется интегральный уровень по каждому виду рисков;

· сравниваются интегральный уровень рисков, полученный в результате экспертного опроса, и предельный уровень для данного вида риска и выносится решение о приемлемости данного вида риска для разработчика проекта;

· в случае, если принятый предельный уровень одного или нескольких видов рисков ниже полученных интегральных значений, разрабатывается комплекс мероприятий, направленных на снижение влияния выявленных рисков на успех реализации проекта, и осуществляется повторный анализ рисков.