Золотые правила риск культуры

Библиографическая ссылка на статью:
Кудояров Л.В. Риск-культура как важная составляющая рационального функционирования Банка // Гуманитарные научные исследования. 2016. № 12 [Электронный ресурс]. URL: http://human.snauka.ru/2016/12/18109 (дата обращения: 07.06.2018).

В последнее время все больше и больше финансовых организаций развивают или пытаются развить (разработать) в своем внутреннем устройстве определенные подходы к такому понятию как «риск-культура».

Риск-культура в банковском учреждении – это бережное отношение к управлению рисками со стороны всех сотрудников организации с целью максимального извлечения прибыли и минимизации потерь. Риск-культура – ценности, убеждения, понимание и знания в сфере управления рисками, разделяемые и применяемые сотрудниками организации на всех уровнях.

Риск-культура эволюционирует и сегодня привела к созданию концепции сбалансированной риск-культуры.

Можно выделить следующие этапы развития:

1. До 1990-х годов: выполнение требований регулятора – риски рассматривались исключительно в контексте соблюдения требований регулятора;

2. 1990-е годы: максимизация выручки/доли на рынке – риски рассматривались как функции контроля и как препятствие для Бизнеса и высшего менеджмента;

3. 2000-е годы: максимизация прибыли – риски рассматривались как часть расходов Банка;

4. После 2008-го года: сбалансированная культура – у подразделений Бизнеса и Рисков общие цели для достижения, выстроено оптимальное соотношение риска и доходности.

Обращаясь к подходам, рекомендованным Базель, риск-культура основывается на «четырех китах»:

  1. Правильное отношение «наверху»: наблюдательный совет и топ-менеджмент подают пример правильного отношения к риску и соблюдения основных ценностей организации.
  2. Подотчетность: сотрудники на всех уровнях принимают основные ценности и подходы к управлению рисками, осознают ответственность за свои действия и пренебрежение риском.
  3. Эффективное реагирование на изменение макроокружения: внутренняя среда позволяет принимать эффективные решения в ответ на внешние вызовы, способствует открытому и конструктивному диалогу.
  4. Средства поощрения: на всех уровнях используются финансовые и нефинансовые стимулы.

Базель выделяет три ключевых элемента высокой Риск-культуры:

  • Система управления рисками: значимая роль наблюдательного совета в управлении рисками, унифицирована методология риск-менеджмента, внедрена и эффективно работает система «трех линий защиты», значительные ресурсы, независимость и вклад подразделений рисков и внутреннего аудита в управлении рисками.
  • Аппетит к риску: риск-культура рассматривается как стратегическое преимущество Банка, аппетит к риску эффективно каскадируется в операционные лимиты, стратегия развития Банка и бизнес-планы увязаны с аппетитом к риску.
  • Система компенсаций: риск-культура отражена в правилах и экономических стимулах, материальная мотивация учитывает уровень развития риск-культуры.
  • В банках в сфере управления рисками часто доминируют либо формальные процедуры, либо неформальные принципы и убеждения. Наиболее успешные финансовые компании развивают и то и другое, добиваясь следующих характеристик в работе:

    — риск-культура пронизывает организацию и определяет действия сотрудников;

    — риск-осмотрительное поведение Бизнес-подразделений;

    — усиление методологической и экспертной функции Риск-подразделений;

    — воздействие через коммуникации.

    Но не смотря на глобальную эволюцию риск-менеджмента, многие организации до сих пор не сформировали сбалансированную риск-культуру.

    По-прежнему актуальными остаются следующие типы риск-культур:

    1. Упор на объемы и доходы;

    2. Упор на рентабельность (JPMorgan, HSBC);

    3. Неприятие убытков любой ценой;

    4. «Голову в песок»;

    5. Сбалансированная культура (Goldman Sachs).

    Риск-культура основана на изначально партнерской форме организации и усилена путем целенаправленных управленческих решений и действий:

  • Отражение активов и пассивов в балансе по рыночной стоимости mark-to-market. Позволяет оперативно управлять рисками и принимать «рыночные решения».
  • Основой сильной риск-культуры является организационная структура. Управляющие комитеты эскалируют проблемы высшему руководству в установленных случаях, а управленческие решения подвергаются всесторонней оценке на ежедневной основе.
  • Основы риск-культуры заложены в идеологии партнерства. Pre-IPO среди руководства и сотрудников создало сильное чувство сопричастности к результатам деятельности компании.
  • Примером лучшей практики развитой риск-культуры является организация Goldman Sachs.

    human.snauka.ru

    Золотые правила риск культуры

    Тема культуры управления рисками, на сегодняшний день является, пожалуй, самой важной в риск-менеджменте. Риск-менеджеры все больше и больше внимания стали уделять развитию культуры управления рисками, в связи с чем появилась острая необходимость в квалифицированных кадрах, способных моделировать и финансово оценивать риски. Все подходы риск-менеджмента эффективны настолько, насколько развита культура управления рисками в организации и насколько значима роль, которую риск-менеджеры играют в развитии этой культуры [6].

    Культура управления рисками является важнейшей составляющей системы риск-менеджмента. В современном экономическом словаре «управление риском» (risk-management) определяется как «деятельность предприятия, фирмы, банка, направленная на сокращение возможных потерь, обусловленных риском» [4].

    Культура управления рисками оказывает влияние на принимаемые руководством и работниками решения, даже если не проводится оправданный анализ возможных рисков и потенциальных выгод. В целом культуру управления рисками можно охарактеризовать как существующую в организации систему ценностей и способов поведения, которая определяет суть и форму решений, принимаемых в области управления рисками [5].

    Культура управления рисками является средством обеспечения того, что будут приняты не просто необходимые, а тщательно продуманные и взвешенные меры.

    Множество фирм терпят крах из-за неудач в управлении рисками, зачастую из-за недостатка внимания к культуре управления рисками. Риски были либо проигнорированы, либо недооценены или искажены. Необходимо формирование такой организационной культуры, при которой весь управленческий персонал компании будет заинтересован не только в получении большей прибыли, но и в адекватном управлении рисками. Размер вознаграждения каждого сотрудника должен зависеть не только от финансовых итогов его деятельности, но и от того, насколько эффективно он управляет рисками.

    Культура управления рисками в организации может оцениваться по следующим вопросам:

    ● настрой топ-менеджеров и руководства среднего звена;

    ● информирование по вопросам профессиональной этики и рисков;

    ● стимул со стороны работников действовать в соответствии с установленными правилами;

    ● должным ли образом со стороны руководства учитываются риски в процессе принятия решений;

    ● влияние существующей культуры управления рисками на отношения с партнерами;

    ● оценка рисков в процессе найма персонала [5].

    Внедрение и развитие культуры управления рисками – это сложный и продолжительный процесс. И этот процесс должен начинаться сверху, т.е. необходимо понимание, что управление рисками является всеобщей задачей и ответственностью [2]. Зачастую служба риск-менеджмента не находит поддержку со стороны руководства, сотрудники подразделений расценивают управление рисками как неоправданную дополнительную нагрузку и, как следствие, подходят к процессу формально, а где-то сотрудники компании умалчивают о рисках, пытаясь избежать ответственности или наказания.

    Первый шаг к внедрению культуры управления рисками подразумевает выявление наиболее существенных рисков и угроз, которые могут негативно повлиять на цели предприятия. Второй шаг предполагает ранжирование выявленных рисков на основе вероятности и ущерба от их реализации. Третий и, пожалуй, самый важный шаг – постепенное внедрение мероприятий, которые могут предотвратить либо минимизировать негативный эффект от реализации выявленных рисков.

    Управление рисками на 5 % – процесс, на 95 % – культура. Развитие культуры управления рисками – это постепенный процесс, требующий от руководства последовательных действий (рис. 1).

    Рис. 1. Действия руководства по развитию культуры управления рисками

    ● открытость – сотрудники не боятся поднимать вопросы и проблемы, с которыми они сталкиваются каждый день, и открыто обсуждать собственные ошибки, потому что на них учатся;

    ● сотрудничество – сигналы о возможных угрозах и рисках свободно и быстро передаются между сотрудниками;

    ● высокий уровень внимания – умение правильно анализировать риски и соотносить величину рисков с ожидаемыми доходами;

    ● быстрое реагирование на риски – системно и быстро реагировать на угрозы;

    ● ответственность – каждый сотрудник чувствует ответственность за принятие правильных решений;

    Для повышения уровня культуры управления рисками в организации необходимо:

    – повышать уровень значимости системы управления рисками;

    – привлекать в процесс управления рисками высшее руководство для более четкого понимания рисков, возникающих в повседневной деятельности организации;

    – выстраивать материальные стимулы с учетом риска (система выплаты вознаграждений оказывает влияние на результативность работы и применяемые подходы к принятию рисков). Выплата вознаграждений должна учитывать степень проявленной работниками осмотрительности при принятии рисков;

    – предоставление точной информации органам управления. Важным является также предоставление «неотфильтрованной» информации, что подразумевает предоставление информации обо всех негативных фактах с точки зрения управления рисками;

    – четко формулировать риск-аппетит организации и обеспечить его применение на уровне всей организации. Обеспечить соответствие между уровнем риск-аппетита и стратегическими целями организации [3].

    Культура управления рисками должна быть внедрена не только в риск-мониторинг, а также в процесс принятия бизнес-решений и в систему стимулирования.

    Сильная культура управления рисками отображает ценности, способности и возможности, необходимые для эффективного управления рисками (рис. 2):

    Рис. 2. Элементы сильной культуры управления рисками

    – бдительность – обращать внимание на возникающие угрозы и возможности;

    – гибкость – решать и действовать вовремя;

    – сотрудничество – умение эффективно сотрудничать по вопросам риска;

    – коммуникация – обмениваться информацией и идеями о рисках;

    – дисциплина – знать и выполнять, то, что является правильным с точки зрения риска;

    – талант – привлекать и мотивировать людей, у которых есть необходимые знания и навыки риска;

    – лидерство – вдохновлять, поддерживать, практиковать вознаграждения за хорошее управление рисками.

    Нет необходимости каждой компании иметь отдельного руководителя службы управления рисками, но кто-то сверху должен нести ответственность за деятельность по управлению рисками в рамках всей организации.

    Самое главное, чтобы все сотрудники и персонал понимали, что риск-менеджмент является частью стратегического управления компанией и что они должны помочь в управлении рисками, с которыми они сталкиваются в процессе своей работы, в идентификации, выявлении, в оценке этих рисков и формировании предложений по их оптимизации. Управлять рисками – ответственность каждого сотрудника.

    Результатом внедрения сильной культуры управления рисками должны стать:

    1) устойчивая система управления всевозможными рисками;

    2) эффективная культура управления рисками и внутренний регламент процедур измерения, мониторинга и контроля с соответствующими механизмами, такими как методология измерения степени подверженности риску;

    3) автоматизация инструментов управления рисками;

    4) создание системы оценки рисков.

    Руководство должно осознать всю важность и необходимость формирования комплексной и эффективной системы управления рисками всей компании. Без сильной культуры управления рисками никакая сумма инвестиций в информацию о риске, аналитику риска, на риск экспертов не защитят компанию от потенциального бедствия или от пропущенных возможностей для роста.

    Управление рисками – это возможность достойно распоряжаться всеми преимуществами и свойствами имеющихся ресурсов, принимая исключительно обоснованные, взвешенные решения и действовать на их основе [1].

    Отметим, что именно с помощью повышения уровня культуры управления рисками риск-менеджмент может выйти на новый уровень своего развития, поможет предотвратить и пережить в дальнейшем кризис с наименьшими потерями.

    Рецензенты:

    Богатырев А.В., д.э.н., профессор, зав. кафедрой финансов и бухгалтерского учета, АНО ВПО «Московский гуманитарно-экономический институт» (Нижегородский филиал), г. Нижний Новгород;

    Романова А.Т., д.э.н., профессор, зав. кафедрой экономики и управления, АНО ВПО «Московский гуманитарно-экономический институт», г. Москва.

    www.fundamental-research.ru

    Риск-культура в современной банковской сфере

    Рубрика: 4. Экономическое развитие и рост

    Дата публикации: 16.04.2016

    Статья просмотрена: 10206 раз

    Библиографическое описание:

    Дадыко С. И., Марченко А. В. Риск-культура в современной банковской сфере [Текст] // Актуальные вопросы экономики и управления: материалы IV Междунар. науч. конф. (г. Москва, июнь 2016 г.). — М.: Буки-Веди, 2016. — С. 7-10. — URL https://moluch.ru/conf/econ/archive/174/10264/ (дата обращения: 13.07.2018).

    Многие думают, что риск-менеджмент — это элитарная наука, доступная для понимания и практического применения лишь специалистам с математическим образованием. Риск-менеджер представляется магом, который долго колдует над черным ящиком с неизвестным содержимым, произносит загадочные слова «PD», «LGD», «RAROC», «экономический капитал» и «Базель», после чего говорит «нет» в ответ на казалось бы выгодное бизнес-предложение.

    Но это заблуждение, преодолеть которое и призвано развитие риск-культуры. Что же означает развитая риск-культура?

    В условиях развитой риск-культуры каждый сотрудник, во-первых, знает, что находится в «черном ящике» риск-менеджера; во-вторых, понимает, как «результаты колдовства» можно применить с пользой для развития бизнеса; в-третьих, мотивирован на практическое применение «результатов колдовства».

    Риск-менеджмент, как и любой другой управляющий процесс, четко регламентируется. Организационные структуры, роли, процедуры, инструменты и модели должны работать как слаженный механизм. Но опоры на формальные механизмы не достаточно для обеспечения устойчивости системы риск-менеджмента банка и ее адаптивности к постоянно меняющейся внешней и внутренней среде. Жизненные ситуации бегут впереди любой, даже самой обширной и детальной системы нормативных документов. Надежно закрыть возможные пробелы и серые зоны в нормативном регулировании помогают знания, ценности, принципы и убеждения в сфере управления рисками. Их совокупность и получила в международной практике название риск-культуры. [1]

    В банках, в сфере управления рисками часто доминируют либо формальные процедуры, либо неформальные принципы и убеждения. Наиболее успешные банки развивают и то, и другое [2]

    Развитие риск-культуры — очень важный, долгий и сложный путь. Он состоит из:

  • обучения;
  • внедрения инструментов риск-менеджмента в повседневную практику;
  • построения системы мотивации, обеспечивающей применение инструментов риск-менеджмента;
  • коммуникации ценностей и принципов риск-культуры внутри организации.
  • Развитая риск-культура означает, что сотрудники банка, непосредственно не связанные с функцией риск-менеджмента, могут говорить с риск-менеджерами на одном языке и понимают, что для банка в целом означает управление кредитным, рыночным или операционным риском и как конкретно оно касается этих сотрудников. На практике уровень риск-культуры меняется от банка к банку. Если в организации достаточно сильная риск-культура, риск-менеджмент пронизывает все: процессы, системы, управленческие решения, модели и т. д. В банках с менее развитой риск-культурой риск-менеджмент сводится к формальным заключениям и рекомендациям риск-менеджеров, зачастую не обладающих правом голоса при принятии бизнес-решений. [3]

    Одним словом, весь инструментарий риск-менеджмента, каким бы совершенным он ни был, эффективен настолько, насколько развита культура управления рисками в организации.

    Одной из причин медленного развития риск-культуры может быть слабая поддержка риск-менеджмента со стороны высшего руководства организации. Понимая важность внедрения инструментов управления рисками, руководство не всегда сознает, что риск-менеджмент касается не только риск-менеджеров, но и остальных сотрудников организации.

    Сотрудники организации традиционно слабо заинтересованы в том, чтобы делиться информацией о рисках. Слово «риск» часто воспринимается сотрудниками в негативном ключе, они боятся стать его владельцами и начать отвечать за последствия. Организации приходится преодолевать эту установку закрытости у сотрудников, чтобы выявить проблему как можно раньше, пока она еще поддается урегулированию.

    Часто сотрудники организации по-разному понимают риски, поскольку отсутствует единая стратегия управления рисками, разрознена нормативная база, отсутствуют программы обучения и развития компетенций в сфере риск-менеджмента, а уровень владения компетенцией не соответствует уровню занимаемой должности.

    Еще один труднопреодолимый барьер развития культуры риск-менеджмента состоит в том, что люди в бизнесе часто сопротивляются попыткам взглянуть на их действия под иным углом, предсказать альтернативные варианты развития событий. Вот почему многое должно быть сделано для правильной коммуникации роли риск-менеджеров как партнеров и конструктивного противовеса в процессе подготовки и принятия бизнес-решений. [3]

    На текущий момент банки находятся на разных стадиях развития риск-культуры. Для классификации разновидностей риск-культуры можно использовать различные признаки. Рассмотрим типологию на следующем примере. [4]

  • Упор на объемы и доходы. Управление в организации осуществляется с ориентиром на объемы (оборот) и доходы от деятельности. Соответствующие показатели деятельности фактически не корректируются на риск. Осведомленность о риске в организации очень низкая: кроме профильных специалистов, не имеющих реального веса в организации, мало кто интересуется управлением рисками. Риск-менеджмент является сугубо контрольной функцией; регулярно происходят конфликты между подразделениями риск-менеджмента и фронт-офиса, в которых практически всегда побеждает последний.
  • Упор на рентабельность. Осведомленность о риске в организации невысока. При принятии управленческих решений используются показатели, учитывающие риск, однако делается это формально. Гонению подвергается все, что ограничивает рентабельность. В организации есть риск-менеджер, который пытается вносить свой вклад в управление, но, поскольку его считают рупором расходов и убытков, его консервативные суждения мало кому интересны. Это приводит к тому, что реальный принимаемый уровень риска часто выше формально зафиксированного.
  • Непринятие убытков любой ценой. Здесь речь идет о высоком уровне осведомленности о риске в организации, использовании риск- метрик в ограниченном объеме. Хорошо ли непринятие рисков и убытков любой ценой? Нет, поскольку по существу это означает потерю многих возможностей и может в конечном счете привести к краху организации.
  • Голову в песок. В данном варианте организация полагает, что придерживается консервативного подхода к рискам, знает и хорошо управляет ключевыми из них, испытывая в связи с этим ощущение безопасности и комфорта. К сожалению, в реальности такой безопасности достигнуть невозможно, особенно с учетом высокой динамики внешней и внутренней среды кредитной организации. Поэтому процесс управления рисками должен быть регулярным и нацеленным на идентификацию и оценку новых видов рисков. В целом подобная риск-культура вряд ли приведет организацию к успеху на длительном временном интервале.
  • Сбалансированная культура. В этом случае в организации имеют место высокий уровень осведомленности о рисках и активное использование показателей, скорректированных на риск; развитие организации в долгосрочной перспективе строится с учетом определенного аппетита к риску; отсутствует конфликт между функциями риск-менеджмента и бизнес- функциями на всех уровнях в организации, поскольку у них общие цели.
  • За последние 30 лет состояние риск-культуры в мировой банковской отрасли претерпело существенные изменения.

    В период до 1990-х гг. компетенции в сфере риск-менеджмента находились на ранней стадии развития. Внутри кредитных организаций риск-менеджмент рассматривался исключительно в контексте соблюдения требования регулирующих органов.

    1990-е гг. принесли понимание риск-менеджмента как сугубо контрольной функции и препятствия для развития бизнеса. Ценности и принципы риск-менеджмента часто вступали в конфликт со стратегией максимизации объемов бизнеса независимо от уровня прибыльности и риска.

    В 2000-е гг., по мере существенного прогресса в развитии организационно-методологических аспектов риск-менеджмента, риск-метрики стали получать все большее распространение. На этот период приходится также тенденция переключения внимания банков на вопросы финансовой эффективности, максимизации прибыли. Риск рассматривался как составляющая расходов, вследствие чего функция риск-менеджмента испытывала серьезное давление. Оставался высоким уровень манипулирования риск-метриками, величина рисков банков зачастую занижалась. [1]

    Период, последовавший за мировым финансовым кризисом 2008–2009 гг., стал началом перехода мировой банковской отрасли к сбалансированной риск-культуре. Получила развитие концепция аппетита к риску организации. Широкое внедрение метрик, сочетающих в себе риск и доходность, позволило существенно снизить градус конфликта между бизнес-функциями и функциями риск-менеджмента, объединив их общими целями на всех уровнях организационной иерархии. [5]

    Путь крупнейших мировых банков к сбалансированной риск-культуре оказался нелегким и тернистым. Одни банки преодолели трудности, другие вследствие недостатков риск-культуры прекратили свое существование. В таблице 1, представлены примеры проявлений низкого уровня риск-культуры в крупнейших мировых банках. [6]

    Последствия низкого уровня риск-культуры вфинансовых институтах мира

    moluch.ru

    Десять «золотых правил» бизнеса, которые сейчас надо забыть

    Опираться на опыт других важно и полезно, но некоторые передовые решения оказываются близорукими и вредят бизнесу. Компания Beryl, оказывающая посреднические услуги между пациентами и госпиталями, развивалась и росла даже в кризис. Секрет в том, что собственники бизнеса решились оспорить общепринятые правила ведения дел и остались верны базовым принципам компании. CEO Beryl Пол Шпигельман рассказывает в журнале Inc. о десяти правилах, которые он проигнорировал в жесткие годы кризиса. Какие шаги в обход общепринятой практики совершили в кризис вы?

    1. Обязательно привлекайте внешний капитал

    В январе 2010 года Шпигельман подписал письмо о намерении продать контрольный пакет Beryl, но в итоге отказался от сделки. Он понял ― внешний партнер улучшит краткосрочные финансовые показатели, но негативно повлияет на сложившуюся культуру, которая всегда была ключевым элементом успеха компании.

    2. Не отказывайтесь от клиентов

    Крупные клиенты порой заставляют сотрудников забыть про базовые ценности. Один из клиентов Beryl брал с людей плату за товары, которые те не заказывали. Когда посыпались жалобы, клиент попросил сотрудников Beryl, чтобы те уговаривали недовольных людей сохранить «купленный» продукт. В Beryl так работать не привыкли, поэтому сотрудники призвали отказаться от наглого клиента. Компания потеряла в деньгах, зато не вступила на скользкий путь, который мог сильно повлиять на бизнес в будущем. Базовые ценности ― одна из вещей в бизнесе, которые остаются неизменными. Если перешагиваете через линию, тогда теряете доверие сотрудников и клиентов.

    3. Удерживайте талантливых сотрудников, даже если они не вписываются в культуру компании

    Шпигельман нанял трудолюбивого управленца с внушительным резюме, однако новичок не сумел завоевать доверие сотрудников. В итоге «невписавшегося» руководителя уволили, потому что его стиль управления противоречил принципам Beryl.

    4. Не нанимайте во время кризиса

    Если в кризисе и есть положительные стороны для работодателя, так это обилие свободных талантов на рынке. Шпигельман нанял более ста новых сотрудников с 2008 года. Многие из них ― топ-менеджеры с экстраординарным опытом, которые помогли вывести компанию на новый уровень.

    5. Избегайте расходов на веселье

    В трудные времена сложно найти деньги на праздники. Однако корпоративки увеличивают вовлеченность персонала и снижают текучку.

    6. Сократите расходы на обучение и тренинги

    Расходы на обучение идут на пользу и сотрудникам, и работодателю. Сотрудники умнеют и чувствуют прилив бодрости от того, что компания инвестирует в них, а собственник получает более компетентных работников.

    7. Оставьте минимальный социальный пакет

    В первые месяцы кризиса компании кинулись резать социальные пакеты. Шпигельман поступил иначе ― он удвоил отчисления на пенсионные счета сотрудников (401K), показывая, что рассчитывает на людей в долгосрочной перспективе. Это помогло удержать текучку персонала на низком уровне.

    8. Растите за счет поглощений

    Во время кризиса велик соблазн поглотить конкурентов. Сложность в том, что найти компанию со схожей культурой довольно сложно. Конечно, можно внедрить свои ценности в поглощенный бизнес, но для этого придется отвлекаться от основного дела. К тому же всегда есть риск, что ваша культура не приживется в другой компании. Beryl сосредоточилась на органичном росте.

    9. Сосредоточьтесь на своем продукте или услуге

    Люди покупают отношения, а не только продукт или услугу. Вы улучшите отношения, если поговорите с клиентом на важную для него тему. В конечном счете все хотят продать свой продукт. Если вы слушаете и говорите с постоянным или потенциальным клиентом, то легко входите в двери его офиса.

    10. Ставьте клиента на первое место

    Кому-то это покажется парадоксальным, но для вас работники должны быть важнее клиентов. Когда сотрудник доволен работой, эта удовлетворенность переносится и на клиентов. Это не значит, что надо игнорировать клиентов. Смысл в том, что для клиентов будет больше пользы, если вы сосредоточитесь на своих сотрудниках.

    www.e-xecutive.ru

    Использование любых технологий наряду с положительным эффектом влечёт за собой возникновение неопределённости и связанных с этими технологиями рисков. ИТ не исключение. Широкое применение ИТ как в системах управления компаниями, так и в технологических процессах привело к тому, что риски, связанные с ИТ, стали важной частью всех бизнес-рисков организации. Если происходят какие-то нежелательные события, без управления ИТ-рисками организацию ждут перерасход ресурсов и избыточное финансирование. В результате это приводит к прямым потерям и, возможно, к отказу от использования технологий, которые кажутся слишком новаторскими и недостаточно проверенными. А значит, всё закончится упущенными коммерческими возможностями. В этой части статьи мы расскажем о системе и процессе управления рисками, а также об управлении ИТ-рисками.

    Система управления рисками

    Современный подход к управлению рисками рассматривает эту деятельность как непрерывный процесс, в котором риски регулярно выявляют и анализируют, измеряют, ищут способы работы с ними и оценивают эффективность уже принятых мер. Сам процесс управления рисками несложен и сводится к следующему простому алгоритму:

  • идентификация рисков: анализ ситуации, выявление причин, построение карты рисков, их детальное описание;
  • анализ сценариев дальнейшего развития ситуации и определение уровней рисков;
  • проведение мероприятий по снижению уровней рисков.
  • Но одного процесса недостаточно; современный подход к управлению предполагает, что перед запуском процесса управления рисками необходимо определить принципы и сформировать концепцию, то есть определить рамки, в которых происходит управление рисками. Поэтому в общем виде система управления рисками состоит из трёх основных уровней (рис. 2).

    Стратегический уровень — выработка принципов управления рисками. На этом уровне определяют рамки управления рисками, формируют культуру управления рисками и проактивной оценки рисков перед принятием решений, постоянно изучают и анализируют влияние рисков на текущее и будущее состояние организации, определяют приемлемые уровни рисков, а также принципы управления изменениями и противодействия рискам. Кроме того, на данном этапе определяется уровень рисков, которые организация готова принять, то есть толерантность к риску.

    Тактический уровень — система управления рисками. На этом уровне происходит общее руководство процессами управления рисками, их создание и постоянное совершенствование, а также выбор конкретных методов управления ИТ-рисками. Чтобы обеспечить эффективность управления рисками, топ-менеджмент организации должен:

  • определить и утвердить концепцию (политику) управления рисками;
  • определить показатели эффективности управления рисками, соответствующие показателям эффективности организации;
  • распределить ответственность и обязанности за процессы управления рисками на всех уровнях организации;
  • распределить ресурсы, необходимые для управления рисками;
  • сформировать культуру управления рисками в рамках всей организации.
  • На этом уровне принимаются концепция (или политика) и план управления рисками.

    Только процесса управления рисками недостаточно. Современный подход к управлению предполагает, что перед запуском процесса управления рисками необходимо определить принципы и рамки, в которых происходит управление рисками.

    Концепция управления рисками — формализация решений высшего руководства предприятия об общих намерениях, основных принципах и направлениях деятельности в области управления рисками. Концепция управления рисками должна в полной мере отражать цели и приоритеты организации в области риск-менеджмента и фиксировать обязательства по постоянному управлению рисками и улучшению этой деятельности.
    В общем случае концепция управления рисками должна:

    • описывать связи между целями организации и политиками, в том числе концепцией управления рисками;
    • описывать ответственность и обязанности по обработке рисков, а также правила оповещения и передачи на соответствующие уровни управления;
    • описывать то, каким образом риски будут уменьшаться, включая механизмы быстрого реагирования на изменение рисков;
    • описывать ключевые цели и показатели процессов управления рисками для их мониторинга, способы измерения эффективности управления рисками;
    • описывать правила разрешения конфликта интересов.
    • План управления рисками — краткое схематичное описание деятельности и мероприятий в области управления рисками, определение основных отвественных и ресурсов, применяемых для управления рисками.

      Кроме того, необходимо продвигать культуру осведомленности о рисках и работы с ними, расширяя возможности предприятия по управлению рисками. Эта деятельность также относится к тактическому уровню.

      Оперативный уровнь — процесс управления рисками. Здесь происходит основная работа с рисками: идентификация, анализ, определение степени влияния и выработки мер реагирования, а также мониторинг ключевых целей и показателей процессов управления рисками. Риски оценивают с двух точек зрения — вероятность возникновения и степень влияния. На протяжении всего процесса менеджеры коммуницируют с заинтересованными сторонами, анализируют риск и применяют инструменты управления, которые уменьшают вероятность и последствия риска. Кроме того, анализируют причины отклонений от целевых показателей, инициируют корректирующие меры по устранению этих причин и информируют руководство компании о рисках.

      Cогласно стандарту FERMA 2002 система управления рисками строится несколько проще (рис. 3). В ней стратегический (выработка принципов управления рисками) и тактический (работа с системой управления рисками) уровни вынесены за рамки, но присутствуют все основные элементы процесса управления рисками.

      Не так важно какого подхода вы будете придерживаться в реальной работе. Главное — системный подход к управлению рисками. Практика управления рисками в тех или иных областях может развиваться на предприятии в течение длительного времени, однако только постановка процессов управления рисками в рамках комплексной системы гарантирует системный эффект, чтобы все риски предприятия обрабатывались эффективно, рационально и последовательно.

      Рис. 2. Схема управления рисками согласно стандарту ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство» .

      Управление рисками возможно отнюдь не в любой ситуации. Управлять рисками можно только в том случае, если существует определённый уровень прогнозируемости событий и внутренних условий деятельности организации. В противном случае невозможно обоснованно оценить вероятность наступления рискового события и его последствия.

      Рис. 3. Система управления рисками по стандарту FERMA 2002.

      Ограничения управления рисками

      Управление рисками возможно отнюдь не в любой ситуации. Исходя из определения риска, управлять им можно только в том случае, если в компании существует:

    • культура принятия неопределённости и готовность к частичному управлению ею;
    • прогнозируемость (пусть и неполная) внешних и внутренних событий, влияющих на деятельность, которая даёт возможность обоснованно оценить вероятность наступления рискового события;
    • прогнозируемость (пусть и частичная) внутренних условий деятельности организации (контекста риска), которая даёт возможность обоснованно оценить величину возможных негативных последствий;
    • возможность противодействия рисками, наличие времени и ресурсов, которые можно задействовать в управлении рисками.
    • Такие условия складываются не всегда: не всегда можно более-менее обоснованно определить величину возможных негативных последствий и уж тем более совсем не всегда есть время и ресурсы для противодействия рискам. В этих случаях управление рисками теряет смысл и должно быть заменено другими подходами, например, управлением в кризисной ситуации.

      Система управления ИТ-рисками

      Подходы управления рисками можно применить к целой организации, к её площадкам и уровням, равно как и к определённым функциям, проектам и видам деятельности, включая ИТ-деятельность. Существуют нормативные акты, которые прямо предписывают компаниям управлять ИТ-рисками . Аналогично определению риска можно сказать:

      ИТ-риск — это вероятность возникновения события, связанного с применением информационных технологий, которое окажет отрицательное воздействие на достижение поставленных целей.

      Для постановки системы управления ИТ-рисками целесообразно воспользоваться стандартом COBIT: инструкциями COBIT по аудиту ИТ-процесса «Оценка рисков», рекомендациями Risk Analysis Framework (COBIT) . Для оценки ИТ-рисков, разработки мер реагирования на риски, расчёта приемлемого остаточного риска полезно опираться на подходящую методику управления ИТ-рисками. Существует несколько методологий управления ИТ-рисками, из которых следует упомянуть OCTAVE и CRAMM.

    • Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) разработана в Институте программной инженерии при Университете Карнеги — Меллона. Её особенность — активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков. Методология OCTAVE гибкая, её можно адаптировать под потребности конкретного предприятия.
    • Методология CRAMM (CCTA Risk Analysis and Management Method) разработана Central Computer and Telecommunications Agency (Великобритания). Её сильная сторона — идентификация элементов ИТ-риска: материальных и нематериальных активов, их ценности, угроз, мер безопасности, величины потенциального ущерба и вероятности реализации рискового события.
    • К сожалению, вопрос выбора методологии управления ИТ-рисками в каждом конкретном случае — дело сложное, его нельзя свести к кратким советам.

      Ожидаемые результаты деятельности по управлению ИТ-рисками как составной части комплексной системы управления ИТ:

    • снижение числа инцидентов, связанных с ИТ;
    • рост доли ИТ-услуг, предоставляемых в соотвествии с чётко утверждёнными SLA;
    • повышение уровня непрерывности деятельности организации;
    • повышение удовлетворённости бизнеса работой ИТ-департамента.

    В следующей части статьи мы перейдём к описанию опыта управления рисками в ходе ИТ-проекта внедрения комплексной системы управления.

    upr.ru

    Смотрите еще:

    • Воронеж региональный материнский капитал 2018 Материнский капитал в Воронежской области Жители Воронежской области могут рассчитывать сразу на две материальные поддержки при рождении детей в рамках программы материнский капитал — федеральной и […]
    • Прокуроры псковской области Библиографическая ссылка на статью: Фролов В.В. С.Г. Лебедюк и В.И. Гладышев – прокуроры Псковской области рубежа 1950 – 1960-х гг. // Гуманитарные научные исследования. 2014. № 4 [Электронный ресурс]. URL: […]
    • Размер материнского капитала в башкортостане Материнский капитал в Уфе и Республике Башкортостан В Башкирии, наравне с другими республиками РФ, для семей с детьми действует государственная единовременная выплата — материнский капитал. Она введена с 2007 […]
    Закладка Постоянная ссылка.

    Обсуждение закрыто.