Методы, используемые для диагностики рисков
Стандарт FERMA задает значительное количество возможных методов идентификации и анализа рисков. Приведем некоторые из них. ·
SWOT-анализ (сильные, слабые стороны, возможности, опасности). Традиционный инструмент анализа, который может быть применен и для анализа рисков.
BPEST-анализ (бизнес, политический, экономический, социальный, технологический) и PESTLE-анализ (политический, экономический, социальный, технологический, юридический, экологический). При применении анализируются риски, связанные с каждым из аспектов, приведенных в названии. По итогам анализа возникает перечень угроз, которые могут помешать достижению целей. PESTLE можно расширить до STEEPLED (PESTLE + образовательный и демографический виды анализа). ·
Анализ сценариев. При разработке стратегии развития компании возможны различные сценарии развития. Это связано с каждым из аспектов, причем каждый раздел стратегии должен быть взаимосвязан с другими. Выбрать приемлемый с точки зрения риска вариант позволяет метод анализа сценариев. В нем последовательно рассматриваются все возможные комбинации и анализируются потенциальные риски, которые сопоставляются с ожидаемой доходностью. При выявлении негативных рисков бизнеса используется для определения событий, реализация которых в совокупности приводит к невозможности достижения стратегических целей. ·
Планирование непрерывности бизнеса. Метод основан на выявлении возможных проблем, которые могут привести к кризису, связанному с невозможностью осуществлять деятельность на тех же условиях, что и раньше. Существуют стандарты по планированию непрерывности бизнеса, к примеру, британский BS25999. В нем представлены типовые угрозы: эпидемии, пожары, наводнения, землетрясения, перебои в энергоснабжении, хакерские атаки, терроризм и т.д. Перечень угроз не исчерпывающий, поэтому риск-менеджер должен проанализировать, что именно грозит бизнесу. В России это традиционно административное давление, PR-атаки, для небольших бизнесов — уход ключевых сотрудников. Перечень можно продолжать. · Рассмотрение каждого бизнес-процесса. Самый эффективный способ для выявления операционных рисков. Основан на том, что все процессы подвергаются подробнейшему изучению на предмет как возможностей для улучшения, так и негативных рисков. Метод трудоемкий, однако без такого рассмотрения существует вероятность пропустить значительное количество операционных рисков. ·
HAZOP (исследование опасностей и функционирования). Название метода произошло от английских слов hazard и operability. Исследование HAZOP — это процесс детализации и идентификации проблем опасности и работоспособности системы, при этом под системой подразумевается промышленный объект. Основная задача — найти потенциально опасные процедуры, которые могут привести к нарушению функционирования системы, например, взрыву.
Анализ видов и последствий отказов (от failure mode and effects analysis — FMEA). Метод подразумевает рассмотрение всех возможных отказов/cбоев в технологическом процессе и оценку последствий их реализации. Для его использования все возможные сбои (отказы/отключения оборудования, остановка конвейера и т.д.) классифицируются по величине последствий, и дальше подробно рассматриваются все, начиная с самых критичных. ·
Анализ дерева неисправности (от fault tree analysis — FTA). Метод основан на анализе комбинаций событий нижнего уровня, которые могут привести к нежелательному состоянию. Рассмотрение идет сверху вниз для каждого из событий, то есть для определенного события, например, взрыва, рассматриваются все возможные варианты, приводящие к нему. К примеру, взрыв происходит из-за повышения давления, скажем, в котле. Соответственно, возможными вариантами могут быть выход из строя предохранительного клапана, нарушение подачи какого- нибудь компонента, приводящее к взрывному росту давления, несвоевременное реагирование обслуживающего персонала, старение оборудования и т.д. ·
Рабочие группы по оценке рисков и мозговые штурмы. Для анализа рисков формируются рабочие группы, в задачи которых входит анализ рисков по определенному направлению. Идентификация в этом случае может происходить с помощью мозгового штурма. ·
Анкетирование. Самый простой способ выявления рисков, основанный на опросе максимально широкого круга лиц. Может быть эффективен в начале постановки системы управления рисками. ·
Аудит и инспекция, расследование причин события. Данные мероприятия позволяют выявлять текущие нарушения, а также причины совершившихся событий.
Идентификация рисков
Для идентификации рисков необходимо использовать представленные в предыдущем разделе методы. Для возможности их использования потребуется значительное количество информации. Рассмотрим минимально необходимые данные для проведения идентификации рисков разными методами. ·
Стратегия бизнеса. Формализованная либо неформализованная стратегия позволит определить риски, стоящие на пути ее достижения. Отсутствие стратегии тоже является риском, когда компания будет терять в стоимости из-за разнонаправленных действий менеджеров. ·
Маркетинговый анализ. Необходим для оценки рисков, связанных с конкуренцией.
Данные о регионе. Необходимы для проведения STEEPLED-анализа, который выявляет значительное количество рисков. ·
Информация о проектах. Данные о ходе проектов позволят определить достижимость их целей, а также потенциальный ущерб от их срыва.
Юридическая структура и схема ФХД (финансово-хозяйственной деятельности). В России это необходимо проанализировать в целях определения рисков налоговых претензий.
Организационно-функциональная структура. Анализ структуры позволит 9 определить полноту функций и разделение функций исполнения и контроля. · Информация о корпоративном управлении. В России необходимо для оценки рисков недружественного поглощения.
Регламенты процессов и процедур. Формализованные регламенты процессов и процедур позволяют выявить потенциальную неэффективность и проблемы во внутреннем контроле.
Информация об оборудовании. Необходима для выявления технологических рисков и рисков прочих опасностей. К рискам «прочих опасностей» можно отнести пожар, аварию на линии электроснабжения, вымогательство взятки чиновником и другие непредвиденные обстоятельства.
Данные об информационных системах.
Аудиторские отчеты. Данные документы являются одним из самых ценных источников информации для выявления рисков. Квалифицированная аудиторская работа в части подтверждения отчетности, экологического, технологического и другого рода аудитов должна содержать перечень всех возможных рисков. По результатам идентификации должно возникнуть подробное описание рисков.
Таблица 1
| Наименование риска | |
| Сфера риска | Качественное описание событий, их масштаба, типа, количества и сферы воздействия |
| Природа риска | Например, стратегический, операционный, финансовый риск, риск, связанный с использованием информации или соответствием деятельности компании законодательству |
| Заинтересованные стороны | Заинтересованные стороны и их ожидания |
| Количественное определение риска | Существенность и вероятность |
| Допустимый риск/ приемлемость риска | Потенциальные убытки и финансовое воздействие риска Цена риска Вероятность и объем потенциальных убытков/ прибылей Цель (цели) управления рисками и желаемый уровень исполнения поставленных задач |
| Механизмы управления и контроля над рисками | Первичные средства управления рисками, действующие в настоящее время Степень надежности существующих механизмов контроля над рисками Существующие протоколы учета и анализа контроля над риском |
| Возможности для улучшения | Рекомендации по снижению риска |
| Разработка стратегии и политики компании | Определение лиц, ответственных за разработку стратегии и политики |
Методы расчета рисков
Методы расчета рисков можно разделить на две категории: экспертные и статистические.
Экспертные методы — это присвоение значений вероятности и последствий на основании мнения специалистов. К таким методам относятся опросы, анкетирование, привлечение специалистов в определенных областях для анализа рисков и т.д. Безусловный плюс таких методов — возможность расчета практически любого риска. Минус состоит в том, что присваиваемые значения будут сильно отличаться в случае разных экспертных групп. Опыт говорит о том, что оценка рисков, проведенная сотрудниками предприятия, значительно отличается от оценки рисков любыми внешними консультантами.
Статистические методы— это присвоение значений вероятности и последствий на основании существующих данных. К таким методам относятся разные методы теории вероятностей. Наиболее распространенным методом является VaR (Value at Risk). Это выраженная в денежных единицах оценка величины, которую с заданной вероятностью не превысят ожидаемые в течение данного периода времени потери. В настоящем курсе я не буду останавливаться подробно на этих методах, потому что большинство имеющихся книг о риск-менеджменте посвящено именно статистическим методам. Плюсы статистических методов — их точность, однако есть и значительные минусы. Наша экономика пока не очень стабильна, поэтому статистический расчет какого-либо финансового риска может не отражать фактического положения дел. Другой пример — для кредитования и контрагентам представляют «управленческую» отчетность. Финансовый анализ и последующая оценка платежеспособности, проведенная на основании имеющейся у банка статистической информации, может быть ошибочна из-за недостоверности «управленческой» отчетности. Статистические методы пришли из финансовых бизнесов (банки, страхование). Однако и в обычном бизнесе применение статистических методов может быть эффективным. Естественно, они могут быть эффективными для расчета финансовых рисков.
Однако возможно и другое применение этих методов: ·
расчет рисков опасностей, связанных с отказами оборудования; ·
расчет потерь от реализации операционных рисков в случае значительного количества операций и, соответственно, наличия статистики.
Потери могут быть самыми разными: начиная от задержек в доставке и заканчивая судебными издержками из-за споров с потребителями. Использовать такие методы для расчета стратегических рисков невозможно. На первом этапе основными применяемыми методами будут экспертные. Поэтому обращайте особое внимание на количество и квалификацию экспертов. Желательно при этом получить несколько экспертных оценок, одну из которых может дать потенциальный «владелец риска». Кроме того, нельзя, к примеру, требовать оценки рыночных рисков от производственников, а производственных рисков — от маркетологов. Результатом процедуры оценки риска могут стать количественные, полуколичественные либо качественные значения вероятности и последствий. Количественный расчет — это присвоение численных значений, например, вероятность в 11 50% и ущерб в 20 млн. руб. Полуколичественный расчет — это отнесение вероятности и последствий каждого из риска к определенному интервалу, например, вероятность средняя (от 1 до 3 случаев в год, записывается как Y<p<X), ущерб незначительный (менее 10 млн. руб.). Качественный расчет рисков — это их расчет по типу «много/мало», «высоко/низко», «сильно/слабо» и т.д. Для полуколичественного и качественного расчета можно использовать матрицы 3х3 либо же 5х5.