Управление рисками - Risk management

Для использования в других целях см. риск (значения). Информацию о бизнес-рисках см. анализ рисков (бизнес). Для журнала см. Управление рисками (журнал).
Пример оценки риска: A НАСА модель, показывающая районы с высоким риском столкновения для Международная космическая станция
Управление бизнесом
Управление из бизнес
  • Эмблема-money.svg Деловой и экономический портал

Управление рисками идентификация, оценка и приоритезация риски (определено в ISO 31000 в качестве влияние неопределенности на цели) с последующим скоординированным и экономичным использованием ресурсов для минимизации, мониторинга и контроля вероятности или воздействия неблагоприятных событий.[1] или для максимальной реализации возможностей.

Риски могут исходить из различных источников, включая неопределенность международные рынки, угрозы от сбоев проекта (на любой стадии проектирования, разработки, производства или поддержания жизненного цикла), юридические обязательства, кредитный риск, аварии, естественные причины и бедствия, умышленное нападение со стороны противника или события неопределенной или непредсказуемой основная причина. Есть два типа событий: отрицательные события можно классифицировать как риски, а положительные события - как возможности. Управление рисками стандарты были разработаны различными учреждениями, в том числе Институт управления проектами, то Национальный институт стандартов и технологий, актуарные общества и стандарты ISO.[2][3] Методы, определения и цели сильно различаются в зависимости от того, используется ли метод управления рисками в контексте управления проектами, безопасности, инженерное дело, промышленные процессы, финансовые портфели, актуарные оценки или общественное здоровье и безопасность.

Стратегии управления угрозами (неопределенностями с негативными последствиями) обычно включают в себя избегание угрозы, уменьшение негативного воздействия или вероятности угрозы, передачу всей или части угрозы другой стороне и даже сохранение некоторых или всех потенциальных или фактических последствий особая угроза. Противоположные этим стратегиям можно использовать для реагирования на возможности (неопределенные будущие состояния с выгодами).

Некоторые стандарты управления рисками подвергались критике за отсутствие измеримого улучшения рисков, в то время как доверие к оценкам и решениям, похоже, возрастает.[1] Например, одно исследование показало, что каждый шестой ИТ-проект был "черные лебеди "с гигантскими перерасходами (перерасход в среднем составлял 200%, а перерасход по графику 70%).[4]

Вступление

Широко используемый словарь по управлению рисками определяется следующим образом: Руководство ISO 73: 2009, «Риск-менеджмент. Словарь».[2]

В идеальном управлении рисками следует процесс определения приоритетов, при котором риски с наибольшими потерями (или последствиями) и наибольшими вероятность происходящих обрабатываются в первую очередь. Риски с меньшей вероятностью возникновения и меньшими потерями обрабатываются в порядке убывания. На практике процесс оценки общего риска может быть трудным, и балансировка ресурсов, используемых для смягчения последствий между рисками с высокой вероятностью возникновения, но меньшими потерями, по сравнению с риском с высокими потерями, но с меньшей вероятностью возникновения, часто может быть неправильно обработана.

Управление нематериальным риском идентифицирует новый тип риска, вероятность возникновения которого составляет 100%, но который организация игнорирует из-за отсутствия возможности идентификации. Например, когда в ситуации применяются недостаточные знания, знание риск материализуется. Риск взаимоотношений появляется, когда происходит неэффективное сотрудничество. Риск вовлеченности процесса может стать проблемой при применении неэффективных операционных процедур. Эти риски напрямую снижают производительность работников умственного труда, снижают рентабельность, прибыльность, качество обслуживания, репутацию, ценность бренда и качество прибыли. Управление нематериальными рисками позволяет управлению рисками незамедлительно извлекать выгоду из выявления и снижения рисков, снижающих производительность.

Альтернативная стоимость представляет собой уникальную проблему для риск-менеджеров. Может быть трудно определить, когда направить ресурсы на управление рисками, а когда использовать эти ресурсы где-то еще. Опять же, идеальное управление рисками сводит к минимуму расходы (или рабочую силу, или другие ресурсы), а также сводит к минимуму негативные последствия рисков.

Риск определяется как вероятность того, что произойдет событие, которое отрицательно повлияет на достижение цели. Поэтому неопределенность - ключевой аспект риска. Такие системы, как Комитет организаций-спонсоров Комиссии Тредуэя по управлению рисками предприятия (COSO ERM), могут помочь менеджерам в снижении факторов риска. В каждой компании могут быть разные компоненты внутреннего контроля, что приводит к разным результатам. Например, структура компонентов ERM включает внутреннюю среду, постановку целей, идентификацию событий, оценку рисков, реагирование на риски, контрольные действия, информацию и коммуникацию, а также мониторинг.

Метод

По большей части эти методы состоят из следующих элементов, выполняемых более или менее в следующем порядке.

  1. Определите угрозы
  2. Оценить уязвимость критически важных активов к конкретным угрозам
  3. Определить рисковать (т.е. ожидаемая вероятность и последствия конкретных типов атак на определенные активы)
  4. Определите способы снижения этих рисков
  5. Приоритет мер по снижению риска

Принципы

В Международная организация по стандартизации (ISO) определяет следующие принципы управления рисками:[5]

Управление рисками должно:

  • Создавать ценить - ресурсы, затрачиваемые на снижение риска, должны быть меньше, чем последствия бездействия
  • Быть неотъемлемой частью организационных процессов
  • Участвуйте в процессе принятия решений
  • Явно обращайтесь к неопределенности и предположениям
  • Будьте систематическим и структурированным процессом
  • Основывайтесь на наилучшей доступной информации
  • Быть адаптируемым
  • Учитывайте человеческий фактор
  • Будьте прозрачны и инклюзивны
  • Будьте динамичными, повторяющимися и отзывчивыми на изменения
  • Быть способным к постоянному совершенствованию и совершенствованию
  • Постоянно или периодически переоцениваться

Слабый риск против дикого

Бенуа Мандельброт проводил различие между «умеренным» и «диким» риском и утверждал, что оценка и управление рисками должны быть принципиально разными для этих двух типов риска.[6] Небольшой риск следует нормальный или почти нормальный распределения вероятностей, подлежит регресс к среднему значению и закон больших чисел, и поэтому относительно предсказуем. Дикий риск следует распределения с толстым хвостом, например, Парето или же степенные распределения, подвержен регрессии в хвост (бесконечное среднее значение или дисперсия, что делает закон больших чисел недействительным или неэффективным), и поэтому его трудно или невозможно предсказать. По мнению Мандельброта, распространенной ошибкой в ​​оценке и управлении рисками является недооценка размаха риска, допущение, что риск является умеренным, хотя на самом деле он дикий, чего следует избегать, чтобы оценка и управление рисками были достоверными и надежными.

Процесс

По стандарту ISO 31000 «Управление рисками - принципы и рекомендации по внедрению».[3] процесс управления рисками состоит из следующих нескольких этапов:

Установление контекста

Это включает:

  1. наблюдение за контекстом
    • социальная сфера управления рисками
    • личность и цели заинтересованные стороны
    • основа, на которой будут оцениваться риски, ограничения.
  2. определение рамок деятельности и повестки дня для идентификации
  3. разработка анализа рисков, связанных с процессом
  4. снижение или решение рисков с использованием имеющихся технологических, человеческих и организационных ресурсов

Идентификация

После установления контекста следующим шагом в процессе управления рисками является определение потенциальных рисков. Риски связаны с событиями, которые при запуске вызывают проблемы или приносят пользу. Следовательно, идентификация рисков может начинаться с источника наших проблем и проблем наших конкурентов (выгода) или с последствий проблемы.

  • Анализ источников[7] - Источники риска могут быть внутренними или внешними по отношению к системе, которая является целью управления рисками (используйте смягчение последствий вместо управления, поскольку по своему собственному определению риск связан с факторами принятия решений, которыми невозможно управлять).

Примеры источников риска: заинтересованные стороны проекта, сотрудники компании или погода в аэропорту.

  • Анализ проблемы[нужна цитата ] - Риски связаны с выявленными угрозами. Например: угроза потери денег, угроза злоупотребления конфиденциальной информацией или угроза человеческих ошибок, несчастных случаев и жертв. Угрозы могут существовать с различными организациями, наиболее важными из которых являются акционеры, клиенты и законодательные органы, такие как правительство.

Когда известен источник или проблема, можно исследовать события, которые может инициировать источник, или события, которые могут привести к проблеме. Например: уход заинтересованных сторон во время проекта может поставить под угрозу финансирование проекта; конфиденциальная информация может быть украдена сотрудниками даже в закрытой сети; молния, поражающая самолет во время взлета, может привести к немедленным жертвам для всех находящихся на борту людей.

Выбранный метод выявления рисков может зависеть от культуры, отраслевой практики и соблюдения нормативных требований. Методы идентификации формируются с помощью шаблонов или разработки шаблонов для определения источника, проблемы или события. Распространенными методами идентификации рисков являются:

  • Выявление рисков на основе целей[нужна цитата ] - У организаций и проектных команд есть цели. Любое событие, которое может помешать достижению цели, идентифицируется как риск.
  • Выявление рисков на основе сценариев - В анализ сценария создаются разные сценарии. Сценарии могут быть альтернативными способами достижения цели или анализом взаимодействия сил, например, на рынке или в битве. Любое событие, которое запускает альтернативный нежелательный сценарий, идентифицируется как риск - см. Исследования будущего за методологию, используемую Футуристы.
  • Идентификация рисков на основе таксономии. Таксономия при идентификации рисков на основе таксономии представляет собой разбивку возможных источников риска. На основе таксономии и знания передового опыта составляется анкета. Ответы на вопросы раскрывают риски.[8]
  • Проверка общего риска[9] - В нескольких отраслях доступны списки известных рисков. Каждый риск в списке можно проверить на предмет применимости к конкретной ситуации.[10]
  • График рисков[11] - Этот метод объединяет вышеупомянутые подходы, перечисляя ресурсы, подверженные риску, угрозы этим ресурсам, модифицируя факторы, которые могут увеличивать или уменьшать риск и последствия, которых он желает избежать. Создание матрица под этими заголовками возможны различные подходы. Можно начать с ресурсов и рассмотреть угрозы, которым они подвергаются, и последствия каждой из них. В качестве альтернативы можно начать с угроз и изучить, на какие ресурсы они могут повлиять, или можно начать с последствий и определить, какая комбинация угроз и ресурсов будет задействована, чтобы их вызвать.

Оценка

Основная статья: Оценка рисков

После того, как риски были идентифицированы, они должны быть оценены с точки зрения их потенциальной серьезности воздействия (как правило, негативного воздействия, такого как ущерб или убытки) и вероятности возникновения. Эти количества могут быть либо простыми для измерения в случае стоимости потерянного здания, либо невозможно узнать наверняка в случае маловероятного события, вероятность возникновения которого неизвестна. Следовательно, в процессе оценки крайне важно принимать наиболее обоснованные решения, чтобы правильно расставить приоритеты в реализации план управления рисками.

Даже краткосрочное положительное улучшение может иметь долгосрочные отрицательные последствия. Возьмем, к примеру, «магистраль». Шоссе расширено, чтобы позволить большему движению. Большая пропускная способность ведет к большему развитию в областях, окружающих улучшенную пропускную способность. Таким образом, со временем трафик увеличивается, чтобы заполнить доступную емкость. Таким образом, магистрали необходимо расширять в бесконечных циклах. Есть много других инженерных примеров, когда расширенная мощность (для выполнения любой функции) вскоре заполняется повышенным спросом. Поскольку за расширение приходится платить, результирующий рост может стать неустойчивым без прогнозирования и управления.

Основная трудность в оценке риска заключается в определении частоты возникновения, поскольку статистическая информация не доступна по всем видам прошлых инцидентов и особенно скудна в случае катастрофических событий просто из-за их нечастости. Кроме того, для нематериальных активов часто бывает довольно сложно оценить серьезность последствий (воздействия). Оценка активов - еще один вопрос, который необходимо решить. Таким образом, наиболее обоснованные мнения и доступные статистические данные являются основными источниками информации. Тем не менее, оценка рисков должна предоставлять такую ​​информацию для высшего руководства организации, чтобы основные риски были легко понятны и чтобы решения по управлению рисками могли быть приоритетными в рамках общих целей компании. Таким образом, было несколько теорий и попыток количественно оценить риски. Существует множество различных формул риска, но, пожалуй, наиболее широко принятая формула для количественной оценки риска: «Частота (или вероятность) возникновения, умноженная на влияние события, равна величине риска».[нечеткий ]

Варианты риска

Меры по снижению риска обычно формулируются в соответствии с одним или несколькими из следующих основных вариантов риска, а именно:

  1. Разработайте новый бизнес-процесс с адекватными встроенными мерами контроля и сдерживания рисков с самого начала.
  2. Периодически переоценивайте риски, которые принимаются в текущих процессах как нормальную черту бизнес-операций, и изменяйте меры по их снижению.
  3. Передача рисков внешнему агентству (например, страховой компании)
  4. Полностью избегайте рисков (например, закрывая конкретную область бизнеса с высоким уровнем риска)

Позднее исследование[12] показал, что финансовые выгоды от управления рисками меньше зависят от используемой формулы, но в большей степени зависят от частоты и того, как выполняется оценка рисков.

В бизнесе крайне важно уметь представлять результаты оценки рисков в финансовых, рыночных или календарных условиях. Роберт Кортни-младший (IBM, 1970) предложил формулу представления рисков с финансовой точки зрения. Формула Кортни была принята в качестве официального метода анализа рисков для правительственных агентств США. Формула предлагает расчет ALE (ожидаемых потерь в годовом исчислении) и сравнивает ожидаемую величину потерь с затратами на реализацию мер безопасности (анализ выгоды и затрат ).

Обработка потенциальных рисков

После выявления и оценки рисков все методы управления рисками попадают в одну или несколько из этих четырех основных категорий:[13]

  • Избегание (устранение, отказ от участия или отказ от участия)
  • Снижение (оптимизировать - смягчить)
  • Совместное использование (передача - аутсорсинг или страхование)
  • Удержание (принятие и бюджет)

Идеальное использование этих стратегии контроля рисков может быть невозможно. Некоторые из них могут включать компромиссы, неприемлемые для организации или лица, принимающего решения по управлению рисками. Другой источник, из Министерства обороны США (см. Ссылку), Университет обороны, называет эти категории ACAT для предотвращения, контроля, принятия или передачи. Это использование аббревиатуры ACAT напоминает другой ACAT (для категории закупок), используемый в закупках оборонной промышленности США, в которых управление рисками играет важную роль в принятии решений и планировании.

Избежание риска

Это включает в себя невыполнение действий, которые могут представлять опасность. Отказ от покупки свойство или бизнес, чтобы избежать ответственность, установленная законом один из таких примеров. Избегая самолет полеты из страха перед угон. Избегание может показаться ответом на все риски, но избегание рисков также означает потерю потенциальной выгоды, которую могло позволить принятие (сохранение) риска. Отказ от входа в бизнес во избежание риска убытков также позволяет избежать возможности получения прибыли. Ужесточение регулирования риска в больницах привело к тому, что лечение состояний повышенного риска не проводится в пользу пациентов с более низким риском.[14]

Сокращение рисков

Снижение риска или «оптимизация» включает снижение серьезности убытков или вероятности возникновения убытков. Например, спринклеры предназначены для того, чтобы Огонь для снижения риска пожара. Этот метод может привести к большим потерям из-за повреждения водой и поэтому может не подходить. Галон системы пожаротушения могут снизить этот риск, но их стоимость может оказаться непомерно высокой. стратегия.

Признавая, что риски могут быть положительными или отрицательными, оптимизация рисков означает нахождение баланса между отрицательным риском и выгодой от операции или деятельности; и между снижением риска и прилагаемыми усилиями. Эффективно применяя Здоровье, безопасность и окружающая среда (HSE), организации могут достичь приемлемого уровня остаточный риск.[15]

Современные методологии разработки программного обеспечения снижают риски за счет постепенной разработки и выпуска программного обеспечения. Ранние методологии страдали от того, что они предоставляли программное обеспечение только на заключительной стадии разработки; любые проблемы, возникающие на более ранних этапах, означали дорогостоящую переделку и часто ставили под угрозу весь проект. Разрабатывая итерационные разработки, программные проекты могут ограничить усилия, потраченные впустую, до одной итерации.

Аутсорсинг может быть примером стратегии разделения рисков, если аутсорсер может продемонстрировать более высокие способности в управлении или снижении рисков.[16] Например, компания может передать на аутсорсинг только разработку программного обеспечения, производство товаров повседневного спроса или поддержку клиентов другой компании, одновременно занимаясь самим управлением бизнесом. Таким образом, компания может больше сосредоточиться на развитии бизнеса, не беспокоясь о производственном процессе, управлении командой разработчиков или поиске физического места для центра.

Разделение рисков

Кратко определяется как «разделение с другой стороной бремени убытков или выгоды от риска и мер по снижению риска».

Термин «передача риска» часто используется вместо разделения риска из-за ошибочного убеждения, что вы можете передать риск третьей стороне посредством страхования или аутсорсинга. На практике, если страховая компания или подрядчик обанкротятся или попадут в суд, первоначальный риск, скорее всего, все же вернется к первой стороне. Таким образом, в терминологии практиков и ученых, покупка договора страхования часто описывается как «передача риска». Однако с технической точки зрения покупатель контракта, как правило, сохраняет юридическую ответственность за «перенесенные» убытки, что означает, что страхование может быть более точно описано как механизм компенсации после события. Например, полис страхования от несчастных случаев не передает страховой компании риск автомобильной аварии. Риск по-прежнему лежит на страхователе, а именно на человеке, который попал в аварию. Страховой полис просто предусматривает, что если несчастный случай (событие) происходит с участием держателя полиса, то держателю полиса может быть выплачена некоторая компенсация, соразмерная страданиям / ущербу.

Методы управления рисками делятся на несколько категорий. Пулы удержания рисков технически сохраняют риск для группы, но его распределение по всей группе предполагает передачу риска между отдельными членами группы. Это отличается от традиционного страхования тем, что между членами группы не обменивается премией, а вместо этого убытки оцениваются для всех членов группы.

Удержание риска

Удержание риска включает в себя принятие потери или выгоды от риска при возникновении инцидента. Истинный самострахование попадает в эту категорию. Удержание риска - это жизнеспособная стратегия для небольших рисков, когда стоимость страхования от риска со временем будет больше, чем общие понесенные убытки. Все риски, которые не удалось избежать или не передать, сохраняются по умолчанию. Это включает в себя риски, которые настолько велики или катастрофичны, что либо они не могут быть застрахованы, либо премии будут невозможны. Война является примером, поскольку большая часть имущества и рисков не застрахованы от войны, поэтому убытки, связанные с войной, остаются застрахованными. Также сохраняется риск любых возможных убытков (риска), превышающих страховую сумму. Это также может быть приемлемо, если вероятность очень большого убытка невелика или если стоимость страховки для больших сумм покрытия настолько велика, что это будет слишком мешать целям организации.

План управления рисками

Основная статья: План управления рисками

Выберите соответствующие меры контроля или контрмеры для снижения каждого риска. Снижение риска должно быть одобрено руководством соответствующего уровня. Например, риск, связанный с имиджем организации, должен зависеть от решения высшего руководства, тогда как ИТ-руководство должно иметь право принимать решение о рисках компьютерных вирусов.

План управления рисками должен предлагать применимые и эффективные меры безопасности для управления рисками. Например, наблюдаемый высокий риск компьютерных вирусов можно снизить путем приобретения и внедрения антивирусного программного обеспечения. Хороший план управления рисками должен содержать график внедрения средств контроля и лиц, ответственных за эти действия.

В соответствии с ISO / IEC 27001, этап сразу после завершения оценка рисков Этап состоит из подготовки плана обработки рисков, в котором должны быть задокументированы решения о том, как следует обрабатывать каждый из идентифицированных рисков. Снижение рисков часто означает выбор меры безопасности, который должен быть задокументирован в Заявлении о применимости, в котором указывается, какие конкретные цели контроля и средства контроля из стандарта были выбраны и почему.

Выполнение

Реализация следует всем запланированным методам снижения воздействия рисков. Приобретите полисы страхования рисков, которые было решено передать страховщику, избегайте всех рисков, которых можно избежать, не жертвуя целями организации, уменьшите другие и оставьте остальные.

Обзор и оценка плана

Первоначальные планы управления рисками никогда не будут идеальными. Практика, опыт и фактические результаты убытков потребуют внесения изменений в план и внесения информации, позволяющей принимать возможные различные решения в отношении возникающих рисков.

Анализ риска результаты и планы управления следует периодически обновлять. Для этого есть две основные причины:

  1. для оценки применимости и эффективности ранее выбранных мер безопасности
  2. оценить возможные изменения уровня риска в деловой среде. Например, информационные риски - хороший пример быстро меняющейся деловой среды.

Ограничения

Приоритет процессы управления рисками слишком высокий уровень может помешать организации когда-либо завершить проект или даже начать работу. Это особенно верно, если другие работы приостановлены до тех пор, пока процесс управления рисками не будет признан завершенным.

Также важно помнить о различии между риском и неуверенность. Риск может быть измерен как воздействие × вероятность.

Если риски неправильно оцениваются и устанавливаются приоритеты, время может быть потрачено на устранение риска убытков, которые маловероятны. Следует избегать слишком много времени на оценку и управление маловероятными рисками. Маловероятные события действительно происходят, но если риск достаточно маловероятен, может быть лучше просто сохранить риск и обработать результат, если убыток действительно имеет место. Качественная оценка рисков субъективна и непоследовательна. Основное обоснование формального процесса оценки рисков - юридическое и бюрократическое.

Области

Применительно к корпоративные финансы, управление рисками это метод измерения, мониторинга и контроля финансовых или операционный риск на фирме баланс, традиционной мерой является стоимость под риском (VaR), но есть и другие меры, например прибыль с риском (PaR) или маржа под риском. В Базель II структура разбивает риски на рыночный риск (ценовой риск), риск кредита и операционный риск, а также определяет методы расчета потребности в капитале для каждого из этих компонентов.

В информационных технологиях управление рисками включает «Обработку инцидентов», план действий по борьбе со вторжениями, кибер-кражей, отказом в обслуживании, пожарами, наводнениями и другими событиями, связанными с безопасностью. Согласно Институт SANS,[17] это шестиэтапный процесс: подготовка, идентификация, сдерживание, искоренение, восстановление и извлеченные уроки.

Предприятие

Основная статья: Управление рисками

В управлении рисками предприятия риск определяется как возможное событие или обстоятельство, которое может оказать негативное влияние на рассматриваемое предприятие. Его влияние может быть на само существование, ресурсы (человеческие и капитальные), продукты и услуги или клиентов предприятия, а также внешние воздействия на общество, рынки или окружающую среду. В финансовом учреждении управление рисками предприятия обычно рассматривается как сочетание кредитного риска, риск процентной ставки или же управление активами и пассивами, риск ликвидности, рыночный риск и операционный риск.

В более общем случае каждый вероятный риск может иметь заранее сформулированный план действий по устранению его возможных последствий (чтобы гарантировать случайность если риск становится обязанность).

Из приведенной выше информации и средней стоимости на одного сотрудника с течением времени, или коэффициент начисления затрат, руководитель проекта может оценить:

  • стоимость, связанная с риском, если он возникает, оцениваемая путем умножения затрат на персонал в единицу времени на предполагаемое потерянное время (влияние на стоимость, C куда C = коэффициент начисления затрат * S).
  • вероятное увеличение времени, связанное с риском (отклонение от графика из-за риска, Рупий где Rs = P * S):
    • Сортировка по этому значению в первую очередь ставит самые высокие риски для расписания. Это предназначено для того, чтобы в первую очередь попытаться предпринять самые большие риски для проекта, чтобы минимизировать риск как можно быстрее.
    • Это немного вводит в заблуждение, поскольку отклонения от графика с большим P и маленьким S и наоборот не эквивалентны. (Риск RMS Титаник тонуть по сравнению с тем, что пассажиры подают еду в несколько неподходящее время).
  • вероятное увеличение стоимости, связанное с риском (отклонение стоимости из-за риска, Rc где Rc = P * C = P * CAR * S = P * S * CAR)
    • сортировка по этому значению ставит на первое место самые высокие риски для бюджета.
    • видеть озабоченность по поводу отклонение от графика поскольку это его функция, как показано в уравнении выше.

Риск в проект или же процесс может быть связано либо с Варианты особых причин или же Вариация по общей причине и требует соответствующего лечения. Это сделано для того, чтобы повторить беспокойство по поводу того, что экстремальные случаи не эквивалентны в списке непосредственно выше.

Безопасность предприятия

ESRM - это подход к управлению программами безопасности, который связывает действия по обеспечению безопасности с миссией и бизнес-целями предприятия с помощью методов управления рисками. Роль руководителя службы безопасности в ESRM заключается в управлении рисками нанесения ущерба активам предприятия в партнерстве с руководителями бизнеса, активы которых подвержены этим рискам. ESRM включает в себя обучение бизнес-лидеров реалистичному влиянию выявленных рисков, представление потенциальных стратегий для смягчения этих воздействий, а затем принятие варианта, выбранного бизнесом, в соответствии с принятыми уровнями устойчивости к бизнес-рискам.[18]

Медицинский прибор

За медицинское оборудование, управление рисками - это процесс выявления, оценки и снижения рисков, связанных с причинением вреда людям и нанесению ущерба собственности или окружающей среде. Управление рисками является неотъемлемой частью проектирования и разработки медицинских изделий, производственных процессов и оценки практического опыта и применимо ко всем типам медицинских изделий. Доказательства его применения требуются большинством регулирующих органов, таких как США FDA. Управление рисками для медицинских изделий описывается Международной организацией по стандартизации (ISO) в ISO 14971: 2019, Медицинские устройства. Применение управления рисками к медицинским устройствам, стандарт безопасности продукции. Стандарт обеспечивает структуру процессов и связанные с ними требования в отношении ответственности руководства, анализа и оценки рисков, средств контроля рисков и управления рисками жизненного цикла. Руководство по применению стандарта доступно в ISO / TR 24971: 2020.

Европейская версия стандарта управления рисками была обновлена ​​в 2009 году и снова в 2012 году, чтобы отсылать к Директиве по медицинским устройствам (MDD) и Директиве по активным имплантируемым медицинским устройствам (AIMDD) в 2007 году, а также к Директиве по медицинским устройствам In vitro (IVDD). ). Требования EN 14971: 2012 практически идентичны ISO 14971: 2007. Различия включают три «(информационных)» Z-приложения, которые относятся к новым MDD, AIMDD и IVDD. В этих приложениях указаны отклонения в содержании, включая требование снижения рисков. так далеко, насколько возможноа также требование, чтобы риски снижались за счет конструкции, а не за счет маркировки на медицинском устройстве (т. е. маркировка больше не может использоваться для снижения риска).

Типичные методы анализа и оценки рисков, принятые в индустрии медицинского оборудования, включают: анализ опасности, анализ дерева отказов (FTA), анализ режимов и последствий отказов (FMEA), исследование опасностей и работоспособности (HAZOP ), а также анализ прослеживаемости рисков для обеспечения внедрения и эффективности средств управления рисками (т. Для анализа FTA требуется программное обеспечение для построения диаграмм. Анализ FMEA можно выполнить с помощью электронная таблица программа. Также существуют интегрированные решения по управлению рисками, связанными с медицинским оборудованием.

Через проект руководства, FDA представило еще один метод под названием «Safety Assurance Case» для анализа гарантии безопасности медицинских устройств. Обоснование обеспечения безопасности - это структурированный аргумент о системах, подходящих для ученых и инженеров, подкрепленный совокупностью доказательств, которые обеспечивают убедительные, понятные и обоснованные доказательства того, что система безопасна для данного приложения в данной среде. С указанием руководства ожидается обоснование гарантии безопасности для устройств, критически важных для безопасности (например, инфузионных устройств), как часть представления предварительного разрешения, например 510 (к). В 2013 году FDA представило еще один проект руководства, в соответствии с которым производители медицинских устройств должны предоставлять информацию об анализе рисков кибербезопасности.

Управление проектом

Основная статья: управление рисками проекта

Управление рисками проекта необходимо учитывать на разных этапах приобретения. В начале проекта развитие технических разработок или угроз, представляемых проектами конкурента, может вызвать оценку риска или угрозы и последующую оценку альтернатив (см. Анализ альтернатив ). После принятия решения и начала проекта можно использовать более привычные приложения для управления проектами:[19][20][21]

  • Планирование управления рисками в конкретном проекте. Планы должны включать задачи управления рисками, обязанности, мероприятия и бюджет.
  • Назначение специалиста по рискам - члена команды, кроме менеджера проекта, который отвечает за прогнозирование потенциальных проблем проекта. Типичная характеристика риск-офицера - здоровый скептицизм.
  • Ведение живой базы данных рисков проекта. Каждый риск должен иметь следующие атрибуты: дату открытия, название, краткое описание, вероятность и важность. При желании риск может иметь назначенное лицо, ответственное за его разрешение, и дату, к которой риск должен быть устранен.
  • Создание анонимного канала отчетности о рисках. Каждый член команды должен иметь возможность сообщать о рисках, которые он / она предвидит в проекте.
  • Подготовка планов по снижению рисков, выбранных для снижения. Цель плана смягчения - описать, как будет обрабатываться этот конкретный риск - что, когда, кем и как это будет сделано, чтобы избежать его или минимизировать последствия, если он станет обязательством.
  • Обобщение запланированных и возникших рисков, эффективности действий по снижению рисков и усилий, затраченных на управление рисками.

Мегапроекты (инфраструктура)

Мегапроекты (иногда также называемые «крупными программами») - это крупномасштабные инвестиционные проекты, обычно стоимостью более 1 миллиарда долларов на проект. Мегапроекты включают в себя крупные мосты, туннели, автомагистрали, железные дороги, аэропорты, морские порты, электростанции, плотины, проекты по очистке сточных вод, схемы защиты прибрежных районов от наводнений, проекты добычи нефти и природного газа, общественные здания, системы информационных технологий, аэрокосмические проекты и системы защиты. Мегапроекты оказались особенно рискованными с точки зрения финансов, безопасности, а также воздействия на общество и окружающую среду.[22] Поэтому управление рисками особенно актуально для мегапроектов, и для этого были разработаны специальные методы и специальное обучение.[23]

Стихийные бедствия

Важно оценить риск стихийных бедствий, таких как: наводнения, землетрясения, и так далее. Результаты оценки риска стихийных бедствий важны при рассмотрении будущих затрат на ремонт, убытков от перебоев в работе и других простоев, воздействия на окружающую среду, затрат на страхование и предполагаемых затрат на снижение риска.[24][25] В Сендайская рамочная программа по снижению риска бедствий является международным соглашением 2015 года, в котором определены цели и задачи для снижение риска бедствий в ответ на стихийные бедствия.[26] Есть регулярные Международные конференции по бедствиям и рискам в Давос заниматься комплексным управлением рисками.

Пустыня

Управление рисками для людей и имущества в пустыня и отдаленные природные районы развивались с увеличением числа участников отдыха на природе и снижением социальной терпимости к утрате. Организации, предлагающие коммерческий опыт работы в дикой природе, теперь могут соответствовать национальным и международным консенсусным стандартам в отношении обучения и оборудования, такого как ANSI / НАСБЛА 101-2017 (водный спорт),[27] МАА 152 (инструменты для ледолазания),[28] и Европейская норма 13089: 2015 + A1: 2015 (альпинистское снаряжение).[29][30] В Ассоциация экспериментального образования предлагает аккредитацию для программ приключений в дикой природе.[31] В Конференция по управлению рисками в дикой природе обеспечивает доступ к передовой практике, а специализированные организации предоставляют консультации и обучение по управлению рисками в дикой природе.[32][33][34][35]

В своей книге Лидерство и образование на открытом воздухе, альпинист, педагог на природе и писатель, Ари Шнайдер, отмечает, что отдых на свежем воздухе по своей природе является рискованным, и полностью исключить его невозможно. Однако он объясняет, как это может быть полезно для образовательных программ на открытом воздухе. Согласно Шнайдеру, оптимальное приключение достигается, когда реальный риск управляется, а предполагаемый риск поддерживается, чтобы минимизировать реальную опасность и усилить чувство приключения.[36]

Одной из популярных моделей оценки рисков является Модель оценки рисков и управления безопасностью (RASM), разработанная Риком Кертисом, автором Полевого руководства Backpacker's.[36] Формула для модели RASM: Риск = вероятность аварии × тяжесть последствий. Модель RASM сопоставляет отрицательный риск - потенциал убытков с положительным риском - потенциал роста.

Информационные технологии

Основная статья: Управление ИТ-рисками

IT риск это риск, связанный с информационными технологиями. Это относительно новый термин из-за растущего понимания того, что информационная безопасность это просто один из аспектов множества рисков, связанных с ИТ и реальными процессами, которые они поддерживают. «Кибербезопасность тесно связана с развитием технологий. Она задерживается лишь на время, достаточное для развития стимулов, таких как черные рынки, и обнаружения новых эксплойтов. Развитию технологий не видно конца, поэтому мы можем ожидать того же от кибербезопасности. . "[37]

ISACA с Рисковать IT структура связывает ИТ-риск с Управление рисками.

Анализ рисков Duty of Care (DoCRA)[38] оценивает риски и меры защиты, а также учитывает интересы всех сторон, потенциально затронутых этими рисками.

CIS RAM предоставляет метод для разработки и оценки внедрения CIS Controls ™.

Нефть и природный газ

В оффшорной нефтегазовой отрасли управление операционными рисками регулируется случай безопасности режим во многих странах. Инструменты и методы выявления опасностей и оценки рисков описаны в международном стандарте ISO 17776: 2000, а такие организации, как IADC (Международная ассоциация буровых подрядчиков ) опубликовать руководство для Здоровье, безопасность и окружающая среда (HSE) Разработка кейсов на основе стандарта ISO. Кроме того, правительственные регулирующие органы часто ожидают схематического представления опасных событий в рамках управления рисками при представлении обоснований безопасности; они известны как схемы галстука-бабочки (видеть Сетевая теория в оценке рисков ). Этот метод также используется организациями и регулирующими органами в горнодобывающей, авиационной, здравоохранительной, оборонной, промышленной и финансовой областях.

Фармацевтический сектор

Принципы и инструменты управления рисками для качества все чаще применяются к различным аспектам фармацевтических систем качества. Эти аспекты включают процессы разработки, производства, распространения, проверки и представления / рассмотрения на протяжении всего жизненного цикла лекарственных веществ, лекарственных препаратов, биологических и биотехнологических продуктов (включая использование сырья, растворителей, вспомогательных веществ, упаковочных и маркировочных материалов в лекарственных препаратах, биологические и биотехнологические продукты). Управление рисками также применяется к оценке микробиологическое заражение в отношении фармацевтических продуктов и производственной среды чистых помещений.[39]

Сообщение о рисках

Коммуникация о рисках - сложная междисциплинарная академическая область, связанная с главные ценности целевой аудитории.[40][41] Проблемы для коммуникаторов риска связаны с тем, как достичь намеченной аудитории, как сделать риск понятным и сопоставимым с другими рисками, как должным образом уважать ценности аудитории, связанные с риском, как предсказать реакцию аудитории на сообщение и т. Д. Основная цель информирования о рисках - улучшить коллективное и индивидуальное принятие решений. Сообщение о рисках в некоторой степени связано с кризисная коммуникация, но есть четкие различия. Коммуникация о рисках имеет дело с возможными рисками и направлена ​​на повышение осведомленности об этих рисках, чтобы поощрять или убеждать изменения в поведении, чтобы уменьшить угрозы в долгосрочной перспективе. С другой стороны, коммуникация в кризисных ситуациях направлена ​​на повышение осведомленности о конкретном типе угрозы, ее величине, последствиях и конкретном поведении, которое следует принять для уменьшения угрозы.[42] Некоторые эксперты сходятся во мнении, что риск не только коренится в процессе общения, но и не может быть отделен от использования языка. Хотя каждая культура развивает свои собственные страхи и риски, эти толкования применимы только в принимающей культуре.

Информирование о рисках и участие сообщества (RCCE) - это метод, который в значительной степени опирается на волонтеров, непосредственный персонал и людей, не имеющих предварительной подготовки в этой области.[43]

Смотрите также

Рекомендации

  1. ^ а б Хаббард, Дуглас (2009). Неудача в управлении рисками: почему он не работает и как это исправить. Джон Вили и сыновья. п. 46.
  2. ^ а б ISO / IEC Guide 73: 2009 (2009). Управление рисками - Словарь. Международная организация по стандартизации.
  3. ^ а б ISO / DIS 31000 (2009). Управление рисками - Принципы и рекомендации по внедрению. Международная организация по стандартизации.
  4. ^ Flyvbjerg, Bent & Budzier, Александр (2011). «Почему ваш ИТ-проект может быть более рискованным, чем вы думаете». Harvard Business Review. 89 (9): 601–603.
  5. ^ «Проект комитета по управлению рисками ISO 31000» (PDF). Международная организация по стандартизации. 2007-06-15. Архивировано из оригинал (PDF) на 25 марта 2009 г.
  6. ^ Мандельброт, Бенуа и Ричард Л. Хадсон (2008). (Не) поведение рынков: фрактальный взгляд на риск, разорение и вознаграждение. Лондон: Профильные книги. ISBN  9781846682629.
  7. ^ «Идентификация рисков» (PDF). Comunidad de Madrid. п. 3.
  8. ^ CMU / SEI-93-TR-6 Идентификация рисков на основе таксономии в индустрии программного обеспечения. Sei.cmu.edu. Проверено 17 апреля 2012.
  9. ^ «Контрольный список систем управления рисками (общие пункты)» (PDF). www.fsa.go.jpn.
  10. ^ Список распространенных уязвимостей и уязвимостей. Cve.mitre.org. Проверено 17 апреля 2012.
  11. ^ Крокфорд, Нил (1986). Введение в управление рисками (2-е изд.). Кембридж, Великобритания: Вудхед-Фолкнер. п. 18. ISBN  0-85941-332-2.
  12. ^ "Вопросы к экзамену CRISC". Получено 23 февраля 2018.
  13. ^ Дорфман, Марк С. (2007). Введение в управление рисками и страхование (9-е изд.). Энглвуд Клиффс, Нью-Джерси: Prentice Hall. ISBN  978-0-13-224227-1.
  14. ^ МакГиверн, Джерри; Фишер, Майкл Д. (1 февраля 2012 г.). «Реактивность и реакции на прозрачность регулирования в медицине, психотерапии и консультировании» (PDF). Социальные науки и медицина. 74 (3): 289–296. Дои:10.1016 / j.socscimed.2011.09.035. PMID  22104085.
  15. ^ Руководство IADC HSE для мобильных морских буровых установок 3.2, раздел 4.7
  16. ^ Рериг, П. (2006). «Ставка на управление для управления рисками аутсорсинга». Ежеквартальные тенденции развития бизнеса.
  17. ^ Глоссарий терминов безопасности SANS Проверено 13 ноября 2016 г.
  18. ^ КАК ЕСТЬ https://www.asisonline.org/publications--resources/news/blog/esrm-an-enduring-security-risk-model/
  19. ^ Лев Вирин и Майкл Трампер. Решения по проекту: искусство и наука. (2007). Концепции управления. Вена. VA. ISBN  978-1-56726-217-9
  20. ^ Лев Вирин и Майкл Трампер. ProjectThink: почему хорошие менеджеры делают плохой выбор проектов. Gower Pub Co. ISBN  978-1409454984
  21. ^ Питер Саймон и Дэвид Хиллсон, Практическое управление рисками: Методология ATOM (2012). Концепции управления. Вена, VA. ISBN  978-1567263664
  22. ^ Flyvbjerg, Бент (2003). Мегапроекты и риск: анатомия амбиций. Издательство Кембриджского университета. ISBN  0521804205.
  23. ^ Oxford BT Центр управления основными программами
  24. ^ Берман, Алан. Построение успешного плана обеспечения непрерывности бизнеса. Журнал о страховании бизнеса, 9 марта 2015 г. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
  25. ^ Крейг Тейлор; Эрик ВанМарке, ред. (2002). Приемлемые процессы риска: линии жизни и природные опасности. Рестон, Вирджиния: ASCE, TCLEE. ISBN  9780784406236. Архивировано из оригинал на 2013-12-03.
  26. ^ Роулинг, Меган (18 марта 2015 г.). «Новый глобальный план действий в случае стихийных бедствий устанавливает цели по снижению риска и убытков | Рейтер». Рейтер. Получено 2016-01-13.
  27. ^ «Американский национальный стандарт ANSI / NASBLA 101-2017: Базовые знания в области судоходства - движется человеком» (PDF). Получено 2018-11-01.
  28. ^ «Стандарт UIAA 152: Инструменты для льда» (PDF). Получено 2018-11-01.
  29. ^ «EN 13089 Альпинистское снаряжение - Ледовые инструменты - Требования безопасности и методы испытаний (включает поправку A1: 2015)». Получено 2018-11-01.
  30. ^ «Ирландский стандарт I.S.EN 13089: 2011 + A1: 2015 Альпинистское снаряжение - Ледоуборочные инструменты - Требования безопасности и методы испытаний» (PDF). Получено 2018-11-01.
  31. ^ «Ассоциация экспериментального образования». Получено 2018-11-01.
  32. ^ «NOLS Risk Services». Получено 2018-11-01.
  33. ^ «Институт наружной безопасности». Получено 2018-11-01.
  34. ^ «Виристар». Получено 2018-11-01.
  35. ^ «Управление рисками приключений». Получено 2018-11-01.
  36. ^ а б Шнайдер, Ари (23 мая 2018 г.). Лидерство и образование на открытом воздухе. ISBN  9781732348202.
  37. ^ Арнольд, Роб (2017). Кибербезопасность: бизнес-решение. Эскиз угрозы. п. 4. ISBN  978-0692944158.
  38. ^ «Стандарт анализа рисков Duty of Care (DoCRA)». DoCRA.
  39. ^ Saghee M, Sandle T, Tidswell E (редакторы) (2011). Микробиология и обеспечение стерильности в фармацевтических препаратах и ​​медицинских изделиях (1-е изд.). Бизнес-горизонты. ISBN  978-8190646741.CS1 maint: несколько имен: список авторов (связь) CS1 maint: дополнительный текст: список авторов (связь)
  40. ^ Учебник по информированию о рисках - инструменты и методы. Центр общественного здоровья ВМФ и морской пехоты
  41. ^ Понимание теории коммуникации риска: руководство для менеджеров по чрезвычайным ситуациям и коммуникаторов. Отчет для отдела человеческого фактора / поведенческих наук, Управление науки и технологий, Министерство внутренней безопасности США (май 2012 г.)
  42. ^ РЕЙНОЛЬДС, БАРБАРА; Сигер, МЭТЬЮ У. (23 февраля 2005 г.). «Коммуникация о кризисных и чрезвычайных ситуациях как интегрированная модель». Журнал медицинских коммуникаций. 10 (1): 43–55. Дои:10.1080/10810730590904571. ISSN  1081-0730. PMID  15764443. S2CID  16810613.
  43. ^ «Соображения по информированию о рисках и вовлечению общественности (RCCE): меры реагирования на Эболу в Демократической Республике Конго». ВОЗ. 2018. Получено 1 мая 2020.

внешняя ссылка