Простая матрица риска и толерантности к риску
Оранжевая книга
Управление риском. Принципы и концепции
Октябрь 2004
Казначейство Ее Величества
Казначейство Ее Величества
Оранжевая книга
Управление риском. Принципы и концепции
Октябрь 2004
(С) авторское право Великобритании 2004
Опубликовано с разрешения Казначейства Ее Величества от имени контролера Канцелярии Ее Величества.
Текст настоящего документа (за исключением Королевского герба и логотипов департаментов) может воспроизводиться безвозмездно в любом формате и на любом носителе, при условии, что он воспроизводится точно и не используется в контексте, вводящем в заблуждение. При воспроизведении материала должно быть подтверждено авторское право Великобритании и указано название документа.
Запросы об авторских правах на настоящий документ следует направлять по адресу:
The Licensing Division HMSO
St Clements House 2-16 Colegate Norwich
NR3 1BQ (Великобритания)
Факс: 01603 723000
E-mail: licensing@cabinet-office.x.gsi.gov.uk
Контактная информация Казначейства Ее Величества
Настоящий документ доступен на веб-сайте Казначейства:
Www.hm-treasury.gov.uk
За дополнительной информацией о Казначействе и его работе следует обращаться по адресу:
Correspondence and Enquiry Unit HM Treasury
1 Horse Guards Road
London
SW1A 2HQ (Великобритания)
Тел.: 020 7270 4558
Факс: 020 7270 4861
E-mail: ceu.enquiries@hm-treasury.gov.uk
ISBN: 1-84532-044-1
Содержание
Предисловие................................................................................................................................. 5
1. Общие положения................................................................................................................... 7
2. Модель риск-менеджмента.................................................................................................. 10
3. Выявление рисков.................................................................................................................. 11
4. Оценка рисков........................................................................................................................ 16
5. Склонность к риску................................................................................................................ 18
6. Реагирование на риски......................................................................................................... 21
7. Анализ рисков и предоставление сведений о них........................................................... 24
8. Обмен информацией и обучение....................................................................................... 27
9. Предприятие в расширенном контексте............................................................................ 29
10. Среда и контекст риска....................................................................................................... 31
Приложение А. Пример документирования оценки риска................................................ 32
Приложение В. Общая оценка эффективности риск-менеджмента.................................. 33
Приложение С. Краткое изложение вопросов «сканирования горизонта».................... 36
Приложение D. Глоссарий основных терминов.................................................................... 37
Предисловие
В последние годы все секторы экономики сосредотачивали внимание на управлении риском как на ключевом факторе успеха организаций в реализации их целей при защите интересов лиц, заинтересованных в результатах их деятельности. Риск представляет собой неопределенность результата, и хорошее управление риском позволяет организации:
повысить уверенность в достижении желаемых результатов;
эффективно снизить угрозы до приемлемых уровней; и
принимать информированные решения о реализации возможностей.
Хорошее управление риском также позволяет лицам, заинтересованным в результатах деятельности организации, укрепить свое доверие к корпоративному управлению организации и к ее возможностям в реализации целей.
На уровне центрального правительства ряд докладов, в частности, доклад Национальной аудиторской службы «Поддержка инноваций. Управление риском в государственных департаментах» 2000 г. и доклад Стратегического отдела «Риск. Совершенствование компетенций правительства по контролю риска и неопределенности» 2002 г. вывели на передний план вопросы управления риском и разработку Отчетов о внутреннем контроле.
В 2001 г. Казначейство Ее Величества издало документ «Управление риском. Стратегический обзор», который быстро получил известность как Оранжевая книга. Эта публикация содержала базовые вводные понятия управления риском и стала очень популярным ресурсом для разработки и реализации процессов риск-менеджмента в государственных организациях. Настоящая публикация является преемником «Оранжевой книги» 2001 г. В ней по-прежнему приводится общее руководство по принципам риск-менеджмента, но она усовершенствована для отражения новых знаний о риск-менеджменте, полученных нами на опыте последних нескольких лет. Ее следует читать и использовать в сочетании с другими релевантными консультативными публикациями, такими как «Зеленая книга», содержащая конкретные рекомендации по «Анализу и оценке в центральном правительстве», публикация Министерства государственной торговли «Управление риском», содержащая более подробные рекомендации о практическому применению принципов и концепций, содержащихся в настоящей публикации, а также с рекомендациями, предоставленными группой поддержки управления риском Казначейства в рамках «Программы управления риском». Везде, где это возможно, в тексте приводятся ссылки и на дополнительные ресурсы, где концепции, изложенные в Оранжевой книге, рассматриваются более подробно.
Пожалуй, наиболее существенное изменение, произошедшее после опубликования «Оранжевой книги» в 2001 г., заключается в том, что во всех государственных организациях теперь реализованы базовые процессы риск-менеджмента. Это означает, что главной задачей риск-менеджмента теперь является не первоначальное выявление и анализ рисков и разработка процесса риск-менеджмента, но текущий анализ и совершенствование риск-менеджмента. В настоящем руководстве поставлена задача принять это во внимание: например, теперь оно содержит рекомендации по таким вопросам как «сканирование горизонта» для обнаружения изменений, влияющих на профиль риска организации. Настоящее руководство также сосредотачивает внимание не только на внутренних процессах риск-менеджмента, но и рассматривает риск-менеджмент организации в соотношении с более широкой средой, в которой он функционирует.
Настоящее руководство предназначено:
для тех, кто еще только знакомится с риск-менеджментом и для тех, кто выполняет задачу обучения персонала риск-менеджменту в своих организациях; и те, и другие найдут эту публикацию полезной в качестве основного вводного документа;
для тех, кто выполняет задачи по анализу механизмов риск-менеджмента (например, аудиторских комитетов), как ресурс, содержащий всестороннее изложение принципов, по которым могут оцениваться фактические процессы риск-менеджмента;
для старшего руководящего персонала, чье лидерство является жизненно важным для формирования надлежащей культуры, в которой риск-менеджмент может быть эффективным;
для операционного персонала, осуществляющего повседневное управление рисками в процессе реализации целей организации; такой персонал найдет в нем практическую поддержку в фактическом управлении риском; и
для тех, кто имеет опыт осуществления риск-менеджмента; им настоящее руководство раскроет более сложные концепции, такие как склонность к риску.
Настоящее руководство может быть в равной мере полезным для тех, кто интересуется управлением риском на стратегическом, программном или операционном уровне.
(подпись)
Мери Киган
исполнительный директор, Директорат государственного финансового менеджмента
Казначейство Ее Величества
Октябрь 2004 г.
Общие положения
1.1 Организации, по определению, существуют для какой-либо цели – для предоставления услуг или для достижения определенных результатов. В частном секторе основная цель организации, как правило, связана с повышением акционерной стоимости; в государственном секторе цели, как правило, связаны с предоставлением услуг или с реализацией результатов, способствующих общественному благу. Каковы бы ни были цели организации, реализация этих целей окружена неопределенностью, которая ставит под сомнение достижение успеха и одновременно создает возможности для повышения успешности.
1.2 Под риском понимается эта неопределенность исхода действий и событий, как благоприятная возможность, так и неблагоприятная угроза. Риск необходимо оценивать по сочетанию вероятности наступления события и воздействия, возникающего при фактическом наступлении этого события. Риск-менеджмент включает в себя выявление и оценку рисков («внутренне присущих рисков») и последующее реагирование на них.
1.3 Ресурсы, доступные для управления риском, являются ограниченными, поэтому цель заключается в оптимальном реагировании на риск, приоритизированный по результатам оценки рисков. Риск неизбежен, и каждой организации необходимо принимать меры по управлению риском в той мере, в которой она считает их оправданными, до уровня, который она считает приемлемым. Уровень риска, который признан приемлемым и оправданным, называется «склонностью к риску».
1.4 Меры реагирования на риск, инициируемые в организации, называются «внутренним контролем» и могут включать в себя один или несколько из следующих аспектов:
- принятие риска;
- управление риском надлежащим способом для снижения риска до приемлемого уровня или активное его использование с рассмотрением неопределенности как возможности получения выгод;
- передача (перенос) риска;
- прекращение деятельности, создающей риск.
В любом из этих случаев следует рассматривать вопрос возможности, возникающей из неопределенности.
Уровень риска, остающийся после реализации мер внутреннего контроля («остаточный риск») представляет собой подверженность этому риску, он должен быть приемлемым и оправданным, то есть должен быть в пределах склонности к риску.
1.5 Ни одно из этих действий и явлений не происходит в вакууме. Любая организация функционирует в определенной среде, влияющей на риски, с которыми сталкивается организация, и создающей контекст, в котором осуществляется управление этими рисками. Кроме того, у каждой организации есть партнеры, от которых она зависит в достижении своих целей, будь то просто поставщики товаров, необходимых организации, или прямые партнеры в реализации целей. Эффективное управление риском должно в полной мере учитывать контекст, в котором функционирует организация, и приоритизацию рисков организациями-партнерами.
1.6 Управление риском на стратегическом, программном и операционном уровнях должно быть комплексным, чтобы деятельность на одном уровне поддерживала деятельность на других. Тогда стратегия организации в области управления риском будет инициироваться сверху и будет встроена в обычную рутинную деятельность организации. Весь персонал должен быть осведомлен о значимости риска для достижения целей организации, персоналу должна быть представлена возможность обучения в области риск-менеджмента.
Иерархия риска
| Стратегические решения | Стратегический уровень | Неопределенность |
| Решения, воплощающие стратегию в конкретные меры | Программный уровень | |
| Решения, необходимые для реализации | Проектный и операционный уровень |
Источник: Доклад Стратегического отдела «Риск. Совершенствование компетенций правительства по контролю риска и неопределенности», ноябрь 2002 г.
1.7 Таким образом, менеджеры на всех уровнях должны быть вооружены надлежащими навыками, позволяющими им эффективно управлять риском, и организация в целом нуждается в способах удостоверения в том, что риск-менеджмент внедряется надлежащим образом на всех уровнях. У каждой организации должна быть стратегия управления риском, разработанная для реализации принципов, изложенных в настоящей публикации. Применение этой стратегии должно быть встроено в бизнес-процессы организации, в том числе в процессы формирования стратегии и политики, для обеспечения того, чтобы риск-менеджмент был неотъемлемой частью осуществления бизнеса.
1.8 Целью настоящего руководства является предоставление вводной информации об аспектах, применяемых в риск-менеджменте; все они могут применяться на различных уровнях, от разработки стратегической политики управления риском в масштабах всей организации до управления конкретным проектом или операцией. Эта цель реализуется путем использования модели риск-менеджмента, изложенной в следующем разделе; каждый из элементов модели рассматривается подробно. Руководство сначала сосредотачивает внимание на ядре модели, основанном на принципе «жизненного цикла», затем рассматриваются более общие вопросы, образующие среду риск-менеджмента. Важно отметить, что настоящее руководство не является подробной инструкцией по управлению риском; его цель заключается лишь в привлечении внимания к кругу соответствующих проблем и в предложении общих указаний, помогающих читателю в размышлении о том, как эти проблемы могут быть решены в специфических обстоятельствах его организации.
1.9 Не существует специального установленного «стандарта» риск-менеджмента в государственных организациях. В настоящем руководстве указаны принципы риск-менеджмента, и «Концепция оценки риск-менеджмента»[1] предоставляет средство оценки зрелости системы риск-менеджмента. Организации могут предпочесть принятие определенных стандартов (например, «Стандарта риск-менеджмента», разработанного совместно RM, ALARM и AIRMIC[2] в Великобритании, австралийского стандарта[3], стандарта КСО[4] или стандарта, применяемого в государственном секторе Канады[5]). Но важнее соблюдения какого-либо определенного стандарта – способность показать, что управление риском в конкретной организации в ее конкретных обстоятельствах осуществляется способом, эффективно поддерживающим реализацию ее целей.
Модель риск-менеджмента
Модель риск-менеджмента.Разработана на основе модели, содержащейся в докладе Стратегического отдела «Риск. Совершенствование компетенций правительства по контролю риска и неопределенности», ноябрь 2002 г.
Комментарии к модели
Управление риском не является линейным процессом; скорее это балансирование ряда взаимосвязанных элементов, взаимодействующих друг с другом. Чтобы риск-менеджмент был эффективным, они должны быть в балансе друг с другом. Кроме того, конкретные риски не могут быть проработаны изолированно друг от друга; управление одним видом риска может влиять на другой; кроме того, достижимы действия исполнительного руководства, эффективные в управлении несколькими видами риска одновременно.
Модель должна функционировать в среде, в которой определена склонность к риску. Концепция склонности к риску (какой уровень риска является приемлемым и оправданным) может рассматриваться как «верхний слой», накладываемый на всю эту модель.
Представленная здесь модель по необходимости разбивает базовый процесс управления риском на элементы в иллюстративных целях, но в реальности они соединены воедино. Кроме того, определенная стадия процесса, на которой мы можем находиться в управлении каким-либо риском, не обязательно одна и та же для всех видов рисков.
Модель показывает, что базовый процесс управления риском не является изолированным, но осуществляется в определенном контексте; что общий процесс необходимо снабдить определенными основными исходными ресурсами (данными), чтобы получить на выходе желаемые результаты риск-менеджмента.
Выявление рисков
3.1 Для управления риском организации необходимо знать, с какими рисками она сталкивается, и оценивать их. Выявление рисков является первым этапом в построении профиля риска организации. Не существует единственного правильного способа документирования профиля риска, но документирование является критически важным для эффективного управления риском.
3.2 Выявление рисков может быть разделено на две отдельных фазы. Можно выделить:
первоначальное выявление риска (для организации, которая ранее не выявляла свои риски структурированным образом, или для новой организации, или, возможно, для нового проекта или вида деятельности в организации), и
постоянное выявление риска, необходимое для обнаружения новых рисков, не возникавших раньше, изменений в существующих рисках, или существовавших рисков, утративших свою значимость для организации (этот процесс должен быть рутинным элементом осуществления деятельности).
3.3 В любом случае риски должны быть сопоставлены с целями. Риски можно оценивать и приоритизировать только в сопоставлении с целями (и это может быть осуществлено на любом уровне целей, от личных целей до целей организации). Следует проявлять осмотрительность при выявлении рисков общего характера, которые влияют на цели деятельности, но не всегда могут быть очевидными при размышлении о конкретной цели деятельности. Выявленный риск может быть значимым более чем для одной из целей организации, его потенциальное влияние может варьироваться в применении к различным целям, и наилучший способ контроля риска может быть различным в применении к различным целям (хотя существует и возможность того, что один способ контроля риска может позволять адекватно контролировать риск в применении более чем к одной цели). При указании рисков следует проявлять осмотрительность, чтобы избежать упоминания последствий, которые могут возникнуть, в качестве самих рисков, и чтобы избежать указания рисков, которые не влияют на достижение целей; в равной мере следует проявлять осмотрительность, чтобы избежать формулировок рисков, являющихся просто обратными формулировкам целей. Формулировка указания риска должна описывать причину влияния и само возможное влияние на достижение цели («причина и следствие»).
| Цель: Совершить поездку на поезде из пункта А в пункт В, чтобы успеть на встречу к определенному времени | |
| Не смочь добраться из пункта А в пункт В к определенному времени, чтобы успеть на встречу | Х Утверждение, обратное формулировке цели |
| Опоздать и пропустить встречу | X Утверждение, излагающее последствия риска |
| В поезде нет буфета, поэтому я проголодался | Х Это не влияет на достижение цели |
| Опоздание на поезд приводит к позднему приезду и пропуску встречи | V Риск, который можно контролировать, оставив в запасе достаточно времени, чтобы добраться до вокзала |
| Поезд не может ехать из-за плохой погоды, и я не могу попасть на встречу | VЭто риск, который я не могу контролировать, но в отношении которого я могу составить план действий в чрезвычайных ситуациях |
3.4 Отдельные риски, выявляемые организацией, не являются независимыми друг от друга; как правило, они образуют естественные группы. Например, возможно существование ряда рисков, которые могут быть сгруппированы как «ресурсные», или других рисков, которые могут быть сгруппированы как «экологические». Некоторые риски имеют отношение к нескольким целям организаций. Такие группы рисков должны включать в себя взаимосвязанные риски на стратегическом, программном и операционном уровнях (см. 1.6). Важно не смешивать группы рисков с самими рисками. Риски следует выявлять на уровне, на котором может быть выявлено конкретное влияние и конкретное действие или последовательность действий по контролю этого риска. После выявления каждый риск должен быть сопоставлен с определенным лицом или субъектом, несущим ответственность за управление этим риском и мониторинг его изменений во времени. Лицо, ответственное за управление риском, в соответствии со своими обязанностями по управлению риском, должно обладать достаточными полномочиями для обеспечения эффективного управления риском; лицо, ответственное за управление риском, может не совпадать с лицом, фактически принимающим меры по управлению риском.
3.5 Необходимо принять для применения надлежащий подход или инструмент выявления риска. Два наиболее широко используемых подхода таковы:
Организация анализа рисков. Формируется специальная группа (внутри организации или по подряду) для рассмотрения всех операций и видов деятельности в сопоставлении с ее целями и выявления связанных с ними рисков. Группа проводит ряд собеседований с ключевым персоналом на всех уровнях организации для построения профиля риска для всего диапазона деятельности (при этом важно, чтобы применение этого подхода не оказывало негативного влияния на осознание линейным руководством своей ответственности за управление рисками, имеющими отношение к реализуемым им целям);
Самооценка рисков. Подход, при котором всем уровням и подразделениям организации предлагается проанализировать свою деятельность и провести собственный анализ рисков, с которыми они сталкиваются. Это можно осуществить с помощью анализа документации (при этом концепция анализа излагается в опросных листах), но во многих случаях этот подход более эффективно реализуется через координируемые тематические семинары (на которых координаторы с надлежащими навыками помогают группам персонала в проработке рисков, имеющих отношение к достижению их целей). Важная сильная сторона этого подхода заключается в потенциальной возможности установления более четкой ответственности за управление риском, когда сами лица, ответственные за управление риском, выявляют риски.
3.6 Эти подходы не являются взаимоисключающими, желательно применять сочетание этих подходов к процессу выявления рисков – иногда при этом обнаруживаются существенные различия в восприятии риска внутри организации. Эти различия в восприятии необходимо проработать для обеспечения эффективной интеграции риск-менеджмента на различных уровнях организации.
3.7 В настоящее время и в государственном, и в частном секторе все активнее признается важность прогнозирования и управления будущими рисками. Возможны значительные различия между организациями в подходах к «сканированию горизонта» в связи с различными потребностями организаций. Краткое изложение вопросов «сканирования горизонта», предоставляемое Секретариатом по гражданским чрезвычайным ситуациям при Кабинете министров Великобритании, приведено в Приложении С.
3.8 Приведенная ниже таблица взята из опубликованного в 2004 г. (Казначейством) анализа рисков основных департаментов; она содержит краткое описание наиболее распространенных категорий или групп рисков с примерами источников и последствий; она призвана помогать организациям удостоверяться в том, что они рассмотрели диапазон потенциальных рисков, которые могут возникнуть; таблица не претендует на всеохватность – некоторые организации могут выявлять другие категории риска, применимые к их деятельности.
| Категория риска | Примеры риска и вопросы, которые следует рассматривать |
| 1. Внешний (возникающий из внешней среды, не находящейся полностью под контролем организации, но в которой могут быть приняты меры по снижению риска) [Данный анализ основан на модели «PESTLE» - см. Руководство по разработке стратегии, www.strategy.gov.uk] | |
| 1.1 Политический | Смена правительства, политические решения, затрагивающие всех (например, переход к евро); смена правительственного аппарата |
| 1.2 Экономический | Возможности по привлечению и удержанию персонала на рынке труда; валютные курсы влияют на затраты в международных сделках; влияние глобальной экономики на экономику Великобритании |
| 1.3 Социо-культурный | Демографические изменения затрагивают спрос на услуги; изменяются ожидания заинтересованных лиц |
| 1.4 Технологический | Устаревание действующих систем; затраты приобретения наилучшей доступной технологии, возможности, возникающие из развития технологий |
| 1.5 Нормативно-правовой | Нормативные акты и законы ЕС, налагающие требования (например, законодательство в области охраны труда и производственной безопасности, трудовое законодательство) |
| 1.6 Экологический | Здания должны соответствовать меняющимся стандартам; утилизация мусора и избыточного оборудования должна соответствовать меняющимся стандартам |
| 2. Операционный (относящийся к существующей операционной деятельности – к текущим поставкам и к созданию и поддержанию мощностей и возможностей) | |
| 2.1 Поставки | |
| 2.1.1 Сбои в продуктах и предоставлении услуг | Непредоставление услуги пользователю в соответствии с согласованными или установленными условиями |
| 2.1.2 Реализация проектов | Невыполнение проекта в установленный срок, с установленным бюджетом или в соответствии с установленными спецификациями |
| 2.2 Производственные мощности и производственные возможности | |
| 2.2.1 Ресурсы | Финансовые (недостаточное финансирование, неудовлетворительное управление бюджетом, мошенничество), кадровые (компетенции и навыки персонала, набор и удержание персонала) Информационные (достаточность информации для принятия решений; защита конфиденциальности Физические активы (потери, ущерб, кража) |
| 2.2.2 Отношения | Партнеры по поставкам (угрозы для ответственных отношений, ясности ролей) Клиенты и пользователи услуг (удовлетворение поставленными продуктами и услугами) Подотчетность (особенно парламенту) |
| 2.2.3 Операции | Общие мощности и возможности для поставок товаров и услуг |
| 2.2.4 Репутация | Доверие и уверенность заинтересованных лиц по отношению к организации |
| 2.3 Результативность и возможности риск-менеджмента | |
| 2.3.1 Управление | Систематичность и правильность, соблюдение релевантных требований, соблюдение этических норм |
| 2.3.2 Сканирование | Неспособность к выявлению угроз и возможностей |
| 2.3.3 Отказоустойчивость | Возможности систем, помещений, ИТ по выдерживанию неблагоприятных воздействий и кризисов (в том числе военных действий и террористических актов). Восстановление после чрезвычайных ситуаций, планирование действий в чрезвычайных ситуациях |
| 2.3.4 Безопасность | Физических активов и информации |
| 3. Изменения курса (риски, создаваемые решениями о реализации новых целей, выходящих за рамки имеющихся возможностей) | |
| 3.1 Цели, устанавливаемые соглашениями о государственных услугах | Новые цели, устанавливаемые соглашением о государственных услугах, дают основание сомневаться в возможностях организации по их реализации или в возможностях по созданию всех условий для реализации организацией этих целей |
| 3.2 Программы изменений | Программы изменений в организации или культуре угрожают имеющимся возможностям по реализации целей и созданию условий для расширения этих возможностей |
| 3.3 Новые проекты | Принятие оптимальных инвестиционных решений и приоритизация проектов, конкурирующих за ресурсы |
| 3.4 Новые политические меры | Политические решения создают ожидания, в которых имеет место неопределенность в отношении реализации организацией поставленных целей |
Оценка рисков
4.1 Существует три важных принципа оценки риска:
следует обеспечивать наличие четко структурированного процесса, в котором рассматриваются вероятность и влияние каждого риска;
следует документировать оценку риска способом, облегчающим мониторинг и выявление приоритетности рисков;
следует четко понимать различие между внутренне присущим и остаточным риском (см. пункты 1.2 и 1.4).
4.2 Некоторые виды риска поддаются количественной оценке, особенно финансовый риск. Для других рисков (например, для репутационного риска) возможна лишь гораздо более субъективная оценка. В этом смысле оценка рисков ближе к искусству, чем к науке. Тем не менее, необходимо разработать некоторую концепцию оценки рисков. При оценке следует извлекать как можно больше информации из неискаженных независимых данных, учитывать точки зрения всех сторон, затрагиваемых риском, и избегать смешивания объективной оценки риска с суждениями о приемлемости риска.
4.3 Оценка должна осуществляться путем определения вероятности реализации риска и влиянияриска в случае его реализации. Категоризации каждого из этих параметров по шкале «высокий-средний-низкий» может быть достаточной, и таким должен быть минимальный уровень категоризации, приводящий к матрице риска 3х3. Может быть целесообразным применение более детальной аналитической шкалы, особенно если к определенному риску может быть применена четкая количественная оценка – часто используются матрицы 5х5, при этом влияние измеряется по шкале «незначительное-малое-умеренное-сильное-катастрофическое» и вероятность по шкале «редко-маловероятно-возможно-весьма вероятно-почти достоверно» Не существует абсолютного стандарта для шкал матриц риска – организация должна принять решение об уровне анализа, который он считает наиболее практичным для своих обстоятельств. Цвет («сигналы светофора») может использоваться для дальнейшего уточнения значимости рисков
Простая матрица риска и толерантности к риску
| Влияние | Толерантность | |
| Вероятность |
4.4 Затем, когда оценка сопоставляется со склонностью к риску (см. пункт 4.5 ниже), становится ясным объем мер, которые требуется принять. Важна не абсолютная величина оцениваемого риска; важно, рассматривается ли риск как терпимый(приемлемый), или насколько далеко подверженность риску отстоит от уровня толерантности.
4.5 На уровне организации в целом склонность к риску может быть сложной концепцией (см. подробнее в разделе 5), но на уровне конкретного риска выше вероятность того, что уровень подверженности к риску, являющийся приемлемым, может быть определен в терминах как приемлемого влияния риска, если он реализуется, так и приемлемой частоты этого влияния. Именно с этими критериями должен сопоставляться остаточный риск для принятия решения о необходимости дальнейших мер. Толерантность может учитывать стоимость потерянных или непроизводительно использованных активов при неблагоприятном влиянии, восприятие влияния заинтересованными сторонами, соотношение затрат контроля и уровня подверженности риску, соотношение потенциальных выгод и убытков.
4.6 Анализ риска часто сосредотачивается на остаточном риске (то есть на риске, остающемся после применения средств контроля, который, при допущении, что средства контроля эффективны, представляет собой фактическую подверженность риску данной организации – см. пункт 1.4). Конечно, остаточный риск необходимо часто переоценивать – например, при корректировке средств контроля. Оценка ожидаемого остаточного риска необходима при анализе предлагаемых контрольных мер.
4.7 Следует также позаботиться о сборе информации в отношении внутренне присущего риска. Если этого не делать, организация не будет знать о своей подверженности риску в случае, когда средства контроля дают сбой. Знание внутренне присущего риска также позволяет более точно определить наличие избыточного контроля: если внутренне присущий риск находится в пределах склонности к риску, возможно, не требуется затрачивать ресурсы на контроль этого риска. Потребность в наличии сведений и о внутренне присущем, и об остаточном риске означает, что оценка рисков является этапом процесса риск-менеджмента, который не может быть отделен от этапа принятия мер по контролю риска; степень, в которой риск необходимо смягчать, определяется на основе внутренне присущего риска, тогда как адекватность средств, выбранных для смягчения риска, может рассматриваться только после оценки остаточного риска.
4.8 Оценка риска должна быть документирована способом, отражающим этапы процесса (пример содержится Приложении А). В результате документирования оценки риска формируется профиль риска организации, который:
упрощает выявление приоритетов риск-менеджмента (в частности, выявление наиболее существенных вопросов риска, которые следует рассматривать высшему руководству);
предоставляет основания для решений о том, какая подверженность к риску является или не является приемлемой;
упрощает документирование выбранного способа смягчения (контроля) риска;
позволяет всем лицам, занимающимся риск-менеджментом, увидеть общий профиль риска и место в нем их сфер ответственности;
прощает анализ и мониторинг рисков.
4.9 После оценки рисков формируются приоритеты риск-менеджмента организации. Чем менее приемлемым является подверженность какому-либо риску, тем более высокий приоритет должен быть присвоен мерам по смягчению этого риска. Рискам с самым высоким приоритетом (ключевые риски) следует уделять внимание регулярно на самом высоком уровне организации, поэтому они должны регулярно рассматриваться советом директоров. Конкретные приоритеты риск-менеджмента изменяются со временем, так как принимаются меры по смягчению определенных рисков, в результате чего изменяется их приоритизация.
Склонность к риску
5.1 Концепция «склонности к риску» является ключом к эффективному риск-менеджменту. Важно рассмотреть ее прежде, чем переходить к рассмотрению методов смягчения рисков. Эту концепцию можно толковать по-разному в зависимости от того, рассматривается ли риск (неопределенность) как угроза или как благоприятная возможность:
При рассмотрении угроз понятие склонности к риску обозначает уровень подверженности риску, который считается приемлемым и оправданным в случае реализации риска. В этом смысле понятие относится к сравнению затрат (финансовых или иных) по смягчению риска с затратами, вызываемыми подверженностью риску, если она реализуется, и поиску приемлемого баланса;
При рассмотрении возможностей это понятие обозначает рассмотрение того, в какой мере некто готов принимать риск, чтобы воспользоваться выгодами, предоставляемыми этой возможностью. В этом смысле понятие относится к сравнению ценности (финансовой или иной) потенциальных выгод с убытками, которые могут быть понесены (некоторые убытки могут быть понесены независимо от реализации выгод).
Следует отметить, что некоторая часть риска является неизбежной и находится за рамками возможностей организации по снижению этого риска до приемлемого уровня – например, многие организации вынуждены смиряться с тем, что существует риск, возникающий из террористической деятельности, который они не могут контролировать. В таких случаях организации необходимо составлять планы действий в чрезвычайных ситуациях.
5.2 В любом из этих случаев склонность к риску лучше всего выразить как ряд ограничений, надлежащим образом установленных руководством, которые дают на каждом уровне организации четкое указание предельных уровней риска, которые можно принимать на этом уровне при рассмотрении угрозы и затрат ее контроля или при рассмотрении благоприятной возможности и затрат по ее реализации. Это означает, что склонность к риску должна выражаться в тех же терминах, которые использовались при оценке риска. Склонность организации к риску не обязательно статична; в частности, совет директоров может свободно варьировать уровень риска, который он готов принимать, в зависимости от обстоятельств, имеющих место в соответствующее время. В нижеприведенной модели эти понятия отражены более подробно:
| Стратегический уровень | А. Определение склонности к риску | D. Согласование мер реагирования, в том числе потенциальный пересмотр склонности к риску | ||
| Программный уровень | Установление и информирование об общих толерантностях к рискам | |||
| Операционный уровень | В. Определение мер реагирования для управления рисками | С. Предоставление сведений о рисках (превышающих уровень толерантности к риску) |
5.3 Концепцию склонности к риску можно проанализировать подробнее:
Корпоративная склонность к риску. Корпоративная склонность к риску представляет собой общий уровень риска, признанный приемлемым для организации, согласованный на уровне совета директоров (отмечено буквой А в модели, содержащейся в пункте 5.2). Это не обязательно одно заявление о склонности к риску. Министерство государственной торговли, например, выделяет 5 ключевых областей риска (политический или административный риск; риск, связанный с персоналом и внутренними системами; риск ненадлежащего поведения, невыполнения норм, риск финансовой ответственности и финансовый риск; репутационный риск; внешний риск) и формирует заявление о склонности к риску в каждой из этих областей. Совет директоров и высшее руководство должны определить приемлемый диапазон подверженности риску для организации и указать общие границы неприемлемого риска (или по меньшей мере, рисков, о которых в случае их реализации всегда следует информировать совет директоров для обсуждения и принятия решений). Возможно, в этом процессе совет директоров примет во внимание точку зрения Министерства на принятие риска;
Делегированная склонность к риску. Согласованная корпоративная склонность к риску может использоваться как отправная точка для установления уровней толерантности к риску на более низких уровнях организации, согласовывая склонность к риску на различных уровнях организации (отмечено буквой В в модели, содержащейся в пункте 5.2). В результате уровень риска, считающийся высоким на одном уровне управления, будет считаться более низким на более высоком уровне управления. Это упрощает процесс эскалации риска для принятия решений о риске при достижении делегированных пороговых значений (см. пункт 5.4 ниже) и предоставляет персоналу возможность рационализации в рамках делегированных параметров;
Проектная склонность к риску. Проекты, выходящие за рамки повседневной деятельности организации, могут нуждаться в отдельном заявлении о склонности к риску. Для различных видов проектов также могут потребоваться различные уровни склонности к риску, например, организация может согласиться на принятие более высокого уровня риска в проекте, который должен принести существенные выгоды.
Примеры различных видов проектов:
Спекулятивные (наподобие венчурного капитализма в корпоративном секторе): с высокими рисками, но с потенциально высоким вознаграждением, например, проекты инвестиций для экономии бюджетных средств; пилотные проекты. Возможно, большинство этих проектов оказываются неудачными, но они позволяют получить важный опыт;
Стандартные проекты разработки. Например, в сфере ИТ, закупок, строительства и т.д. (все в большей мере охватываются программой Центров передового опыта Министерства государственной торговли на момент опубликования настоящего документа);
Проекты для решения критически важных задач: Проекты, в которых организациям необходима уверенность в успехе.
Очевидно, уровень склонности к риску неодинаков: в спекулятивном проекте организация готова к принятию более высокого уровня риска, чем в проекте для решения критически важных задач.
5.4 Эффективное управление делегированной склонностью к риску и ее применение требует процессов эскалации [(иерархического разрешения проблем) – прим. перев.]. Можно установить пороговые условия, при достижении которых информация о рисках может передаваться на вышестоящий уровень управления по мере достижения или превышения согласованных уровней склонности к риску (обозначено буквой С в модели, содержащейся в пункте 5.2). Затем на вышестоящем уровне иерархии должны приниматься надлежащие меры, которые могут подразумевать прямое управление риском или корректировку уровня риска, при котором допускается управление риском на нижестоящем уровне (обозначено буквой D в модели, содержащейся в пункте 5.2). Часто бывает, что на более высоком уровне управления, где имеет место более широкий портфель управляемых рисков, больше возможностей для принятия повышенных рисков в определенных областях, так как руководство может компенсировать их другими пониженными рисками в своем портфеле.
[Схема:]
Точка эскалации
Вероятность
Влияние
5.5 Концепция склонности к риску также может применяться в следующих областях:
Распределение ресурсов. После установления уровня склонности к риску появляется возможность анализа надлежащего целевого направления ресурсов. Если уровень риска не соответствует согласованной склонности к риску, ресурсы могут быть направлены на приведение его в соответствие с приемлемым уровнем. Риски, которые уже находятся в пределах согласованного уровня толерантности к риску, могут быть проанализированы для выявления возможностей перенаправления ресурсов в более рискованные сферы без негативных последствий. Таможенная служба, налоговое управление, полиция и пожарная служба используют риск-ориентированное распределение ресурсов для приоритизации их использования;
Инициирование проектов. При принятии решения об инициировании нового проекта и при проведении последующих «шлюзовых (этапных) анализов» МГТ (gate reviews) склонность к риску может использоваться как ориентир для принятия решения о продолжении проекта, а также для выявления рисков и управления рисками, которые могут препятствовать успешной реализации проекта.
Реагирование на риски
6.1 Целью реагирования на риски является преобразование неопределенности с выгодой для организации путем ограничения угроз и использования благоприятных возможностей. Любая мера, принимаемая организацией в рамках реагирования на риск, является частью того, что называется «внутренним контролем». Существует пять аспектов реагирования на риск:
ПРИНЯТИЕ
Подверженность риску может быть приемлемой без принятия каких-либо дальнейших мер. Даже если она не является приемлемой, возможности принятия каких-либо мер в отношении некоторых рисков могут быть ограниченными, или затраты принятия мер могут быть непропорциональными потенциальным выгодам. В таких случаях мерой реагирования может быть принятие существующего уровня риска. Этот вариант, конечно, может быть дополнен планированием действий в чрезвычайных ситуациях для реагирования на последствия, возникающие при реализации риска.
СМЯГЧЕНИЕ
Таким образом реагируют на гораздо большее количество рисков. Цель смягчения заключается в том, чтобы организация продолжала деятельность, в связи с которой возникает риск, но при этом принимались меры по снижению риска до приемлемого уровня. Такие меры можно разделить на дополнительные категории в зависимости от их конкретных целей (см. пункт 6.2 ниже).
ПЕРЕДАЧА
В отношении некоторых рисков лучшей мерой реагирования может быть их передача. Ее можно осуществить с помощью обычного страхования или путем выплаты вознаграждения третьему лицу за принятие риска иным способом. Этот вариант особенно хорош для снижения финансовых рисков или рисков, затрагивающих активы. Передача рисков может рассматриваться либо в целях снижения подверженности организации риску, либо потому, что другая организация (возможно, другая государственная организация) способна более эффективно управлять риском. Важно отметить, что некоторые риски невозможно (в полной мере) переместить – в частности, как правило, невозможно передать репутационный риск, даже если предоставление услуги передано на подряд другому лицу. Необходимо тщательно управлять отношениями с третьим лицом, которому передается риск, для обеспечения успешной передачи риска (см. раздел 10).