Идентификация рисков – начальный этап системы мероприятий по управлению рисками, состоящий в систематическом выявлении рисков, характерных для определенного вида деятельности, и определении их характеристик.

Согласно ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» под идентификацией риска понимается процесс нахождения, составления перечня и описания элементов риска.

 

Идентификация рисков определяет, какие риски способны повлиять на проект, и документирует характеристики этих рисков.

Идентификация рисков – итерационный процесс. Вначале идентификация рисков может быть выполнена частью менеджеров проекта или группой аналитиков рисков.

Далее идентификацией может заниматься основная группа менеджеров проекта. Для формирования объективной оценки в завершающей стадии процесса могут участвовать независимые специалисты. Возможное реагирование может быть определено в течение процесса идентификации рисков.


Исходные данные для выявления и описания характеристик рисков могут браться из разных источников:

1. В первую очередь это база знаний организации. Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов. Следует помнить, что проблемы завершенных и выполняемых проектов, это, как правило, риски в новых проектах.

2. Другим источником данных о рисках проекта может служить разнообразная информация из открытых источников, научных работ, маркетинговая аналитика и другие исследовательские работы в данной области.

Каждый проект задумывается и разрабатывается на основании ряда гипотез, сценариев и допущений. Как правило, в описании содержания проекта перечисляются принятые допущения – факторы, которые для целей планирования считаются верными, реальными или определенными без привлечения доказательств. Неопределенность в допущениях проекта следует также обязательно рассматривать в качестве потенциального источника возникновения рисков проекта. Анализ допущения позволяет идентифицировать риски проекта, происходящие от неточности, несовместимости или неполноты допущений.

Основными сложностями при идентификации факторов риска и неопределенности при проведении предпроектного обоснования инвестиций являются:

— отсутствие зависимости, в общем смысле, между событиями, убыточными для проекта в целом и событиями, убыточными для конкретного участника;

— при проведении идентификации рисковых событий сложность нахождения компромисса между чрезмерным количеством возможных событий и их неполным перечнем. В данном случае крайне важным становится профессионализм экспертов.


Для устранения данных противоречий целесообразно проводить первоначальное выявление убыточных именно для конкретного участника событий, а затем из их числа – наиболее возможные с учетом специфики участия в проекте.

Для сбора информации о рисках могут применяться различные подходы. Среди этих подходов наиболее распространены: опрос экспертов, мозговой штурм, метод Дельфи, карточки Кроуфорда.

Современные методики управления рисками снабжены мощным инструментарием выявления рисковых событий, характеризующих как проект в целом, так и отдельные его аспекты. Наиболее эффективным методом идентификации рисков является анализ окружения проекта. Из списка негативных событий вначале определяются наиболее правдоподобные с точки зрения эксперта в данном проекте (отбор по возможности-вероятности наступления). Затем события, определенные с помощью экспертных оценок, отбираются по убыточности для проекта.

При идентификации рисковых событий конкретного участника на основе модели контрактных взаимоотношений три основные группы рисковых событий (рост инвестиционных расходов, рост затрат на производство, падение доходов) предлагается выявлять в зависимости от того, какими из следующих факторов они обусловлены: форс-мажорными обстоятельствами, невыполнением прочими участниками своих обязательств, невыполнение самим участником своих обязательств.


Основным достоинством приведенной классификации негативных событий проекта является то, что она обладает ориентацией на убыточность событий проекта для отдельного участника, чего недостаточно полно учитывают современные экспертные методы. При этом особое внимание при идентификации рисковых событий уделяется возможным обострением взаимоотношений участников проекта.

Результатом идентификации рисков должен стать список рисков с описанием их основных характеристик: причины, условия, последствий и ущерба.

Результатом процесса идентификации рисков является Реестр рисков, содержащий:

— список идентифицированных рисков;

— список потенциальных действий по реагированию;

— основные причины возникновения риска;

— уточнение категорий рисков.

В процессе идентификации список категорий рисков может пополняться новыми категориями, что может привести к расширению иерархической структуры рисков, разработанной в процессе планирования управления рисками.

Реестр рисков содержит следующую информацию:

1. Дата возникновения риска.

2. Дата регистрации риска.

3. Наименование риска.

4. Описание риска.

5. Инициатор.

6. Причины, вызвавшие риск.

7. Последствия.

8. Владелец риска.

9. Дата окончания действия риска.

Несмотря на то, что проекты – это рискованные предприятия, и в них всегда присутствует неопределенность, которую необходимо идентифицировать и контролировать, включать каждый неопределенный риск в Реестр рисков – ошибочно.


У всех рисков есть общие неотъемлемые характеристики:

1. Они относятся к будущему времени и еще не произошли.

2. Это неопределенные события, которые могут и не случиться.

3. Они имеют значение в случае, если они происходят.

Вместо того, чтобы заполнять Реестр общими рисками, которые не требуют специального реагирования, кроме надлежащего выполнения работ, необходимо обращать внимание на обнаружение реальных рисков.

 

Методы, основанные на анализе бизнеса.

Это традиционные методы, большинство из которых встречается не только в риск-менеджменте. Каждый из методов определяет некоторые наборы подходов к поиску проблем либо же возможностей, которые, в свою очередь, могут привести к неким событиям. Представленные методы можно использовать, в первую очередь, для идентификации стратегических рисков, отсюда еще раз следует, что явное или неявное понимание стратегии необходимо. Однако рассмотрение каждого бизнес-процесса приводит, как правило, к выявлению операционных рисков, а планирование непрерывности бизнеса – к выявлению рисков опасностей.

SWOT анализ (Сильные, слабые стороны, возможности, опасности).

Настолько традиционный метод, что описывать его не буду. Отмечу, что грамотно выявленные опасности и есть негативные риски, а возможности – позитивные. Метод хорош при значительном углублении по сравнению с «типовым» SWOT-анализом, который в подавляющем случае делается «для отмазки», пять-десять опасностей – это мало. В общем, «расширив и углубив», то есть сделав по-человечески, можно идентифицировать многое.


BPEST (Бизнес, политический, экономический, социальный, технологический) – анализ и PESTLE (Политический, экономический, социальный, технологический, юридический, экологический) – анализ.

Тоже традиционные методы. Анализируются риски и возможности, связанные с каждым из аспектов, приведенных в названии. По итогам анализа возникает перечень угроз, которые могут помешать достижению целей. Последний можно расширить до STEEPLED (PESTLE + образовательные и демографические). В России последние два дополнения тоже очень актуальны: бизнес должен быть обеспечен квалифицированным персоналом, с чем есть проблемы. Ради интереса можете поиграться с демографическими данными, коих предостаточно на сайте Росстата. Графики получаются преинтереснейшие.

Анализ сценариев.

При разработке стратегии развития компании, естественно, рассматривают различные сценарии развития. Выбрать приемлемый с точки зрения риска вариант позволяет метод анализа сценариев. В нем последовательно рассматриваются все возможные комбинации и анализируются потенциальные риски, которые сопоставляются с ожидаемой доходностью. При выявлении негативных рисков бизнеса используется для определения событий, реализация которых в совокупности приводит к невозможности достижения стратегических целей.


Планирование непрерывности бизнеса.

Метод основан на выявлении возможных проблем, которые могут привести к кризису, связанному с невозможностью осуществлять деятельность на тех же условиях, что и раньше. Существуют стандарты по планированию непрерывности бизнеса, к примеру, британский BS25999. В нем представлены типовые угрозы: эпидемии, пожары, наводнения, землетрясения, перебои в энергоснабжении, хакерские атаки, терроризм и т.д. Перечень угроз не исчерпывающ, поэтому риск-менеджер должен проанализировать, что именно грозит бизнесу. В России традиционно это административное давление, PR-атаки, для небольших бизнесов – уход ключевых сотрудников. Перечень можно продолжать.

Рассмотрение каждого бизнес-процесса.

Самый эффективный способ для выявления операционных рисков. Основан на том, что все процессы подвергаются подробнейшему изучению на предмет «как бы чего не вышло» и «что может пойти не так». Типовым рискам посвящен соответствующий раздел.

Методы, основанные на анализе производства.

Представленные методы позволяют проанализировать любую сложную систему и позволяют выявлять риски опасностей.

HAZOP (Исследование Опасностей и Функционирования).

Название метода произошло от английских слов hazard и operability. Исследование HAZOP — это процесс детализации и идентификации проблем опасности и работоспособности системы, при этом под системой подразумевается промышленный объект. Основная задача – найти потенциально опасные процедуры, которые могут привести к нарушению функционирования системы, например, взрыву.


Анализ видов и последствий отказов (от failure mode and effects analysis – FMEA).

Метод подразумевает рассмотрение всех возможных отказов и оценку последствий их реализации. Для его использования все возможные отказы классифицируются по величине последствий, и дальше подробно рассматриваются все, начиная с самых критичных.

Анализ дерева неисправности (от fault tree analysis – FTA).

Метод основан на анализе комбинаций событий нижнего уровня, которые могут привести к нежелательному состоянию. Рассмотрение идет сверху вниз для каждого из событий, то есть для определенного события, например, взрыва, рассматриваются все возможные варианты, приводящие к нему.

«Организационные» методы анализа рисков.

Рабочие группы по оценке рисков.

Самый важный метод для успешного завершения старта риск-менеджмента быстро. Обратите внимание, что таких групп должно быть несколько. Численность каждой вряд ли должна превышать 6-8 человек. В противном случае любое совещание превращается балаган. Мне нравится вовлекать в такие группы «лучших замов». Дело в том, что, к примеру, собрать в одном месте всех главных специалистов бывает затруднительно (хотя бывают и исключения: к примеру, еженедельные совещания), во-вторых, люди занятые и т.д. «Лучший зам», скорее всего, помоложе, интерес к жизни потерян не совсем. Поэтому, если представляет, что творится в его подразделении – это будет союзник в постановке риск-менеджмента.


Анкетирование.

Самый простой способ. Результаты тоже близки к самым простым – если удается выявить 3-4 риска к тому, что и так очевидно, анкетирование прошло не зря. Анкетирование может быть как анонимным, так и индивидуальным. В последнем случае заполнение анкеты – повод поговорить с человеком. Форма анкеты может быть разной – от самой простой (название риска и его описание) до более сложной (например, оценка вероятности и ущерба, возможность управления риском и т.д.). Мне нравится последний, потому что можно сделать определенные выводы о текущем понимании риск-менеджмента участниками процесса и объяснить не полностью понятое еще раз.

Мозговой штурм.

Традиционный консультантский прием. Может быть очень эффективен в случае сильной рабочей группы, будет мало эффективен, когда участникам «глубоко пофигу» либо же просто не очень понимают, «зачем козе баян». Применение возможно в случае сильного модератора. Если чувствуете, что «зажечь» десять человек, которым управление рисками интересно примерно так же, как проблемы негров в Америке, вам не по силам – лучше не пытаться и устроить обычное совещание. За исключением случаев, когда нужно делать очень быстро.


Расследование причин события.

Метод, основанный на анализе прошлого. Безусловно полезный метод для исключения повторного взаимодействия с садовым инвентарем.

Аудит и инспекция.

Как я понимаю, речь при формулировке стандартов шла о внешнем аудите и внешней инспекции. Отмечу, что при наличии сильного внутреннего аудита и службы производственной безопасности и охраны труда, риски можно идентифицировать на основании интервью с руководителем внутреннего аудита. Почему нужен именно сильный внутренний аудит (как минимум, операционно-ориентированный) – см. здесь.

Ключевые методы.

Понятное дело, что можно использовать все методы. Особенно полезно упражнение для начинающих специалистов. Я лично использую STEEPLED-анализ с добавлением анализа рынков, анализ бизнес-процессов, мозговой штурм (в исключительных ситуациях – сам с собой, что напоминает понятно что) и некое представление о непрекрасном, сложившееся в голове за время профессиональной деятельности. По факту, как мне кажется, этого вполне достаточно для выявления 90-95% рисков, что является неплохим результатом.

Отдельно скажу о методах, основанных на анализе производства. Они, безусловно, полезны, особенно для страховщиков, которые по итогам анализа производственных процессов формируют итоговую ставку и условия страхования. Однако с точки зрения именно управления рисками результатом в России являются многотомные правила по безопасности чего бы то ни было. Понятное дело, что в исполнении чиновников есть элемент, связанный с коррупциогенностью: очень приятно, когда можно «поживиться» на любом предприятии.


сама идеология, которую за тем же Ростехнадзором повторяет менеджмент (особенно в части «правила безопасности написаны кровью»), как мне кажется, не очень эффективна. Наиболее резонансные вещи, которые Вы видите – это авиация. Можете посмотреть небо над США, Европой и Россией на http://flightradar24.com. Посмотрите, сколько перевозят перевозчики американские, европейские и российские. Сравните потери воздушных судов за длительный промежуток времени. Думаю, этих аргументов достаточно для выбора буржуйских, а не российских концепций управления производственной безопасностью. Идеология – определять ключевые риски и управлять ими, а не писать многотомные противоречащие друг другу труды, которые ставят любого исполнителя в затруднительное положение. В общем, если заинтересовались безопасностью в конкретной отрасли – интернет в помощь.

Дополнительная информация.

Что касается COSO ERM. Там всё начинается не с рисков, а с целей. Комментировать не буду, вопрос — на любителя. Такой подход:

  • может помочь, если анализировать стратегические цели. Беда в том, что сама стратегия редко формализована и еще реже предприятие функционирует в соответствии с этой стратегией, так как с момента появления тома с названием «Стратегия» все поменялось раза три. Тем не менее, можно подход использовать, но выбрать хотя бы десяток рисков, когда капитализация может снизиться, мягко говоря, затруднительно (обычно получается значительно больше);
  • по моему мнению, абсолютно не нужен для рисков, не являющихся стратегическими. Безусловно, можно поставить цели под названием «сохранность активов» или «безаварийная работа» и к этим целям невероятными мозговыми усилиями придумать риски «хищение активов» и «авария». Но интуиция мне подсказывает, что риски очевидны, а цели будут именно в качестве надстройки над рисками.

Наиболее полезной из COSO ERM мне кажется фраза, что можно анализировать риски «сверху вниз», а можно «снизу вверх».

Идентификация опасности: методы определения

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Adblock
detector