Статистические методы представляют собой основу оценки риска. Данные о параметрах риска необходимы для управления им. То есть статистические методы, применяемые для оценки рисков, предоставляют информацию для управления рисками.
Статистические методы – это научные методы описания и изучения результатов наблюдений массовых случайных явлений. Риски в большинстве своем представляют собой массовые случайные явления, поэтому подлежат оценке с помощью статистических методов.
Основные понятия оценки рисков
Оценка рисков – это одна из составляющих процесса риск-менеджмента.
Оценка риска (risk assessment) – общий процесс идентификации, анализа и определения величины (evaluation) риска.
Идентификация риска – процесс обнаружения, распознавания и описания риска.
Анализ риска – процесс познания природы и определения уровня риска.
Критерии риска – правила, по которым определяются значимость (significance) оцениваемого риска.
Определение величины риска – процесс сравнения результатов анализа риска с критериями риска, для определения, является ли риск и/или его величина допустимой.
Оценка рисков проводится в условиях качественной определенности, которая связана с «установлением контекста» (establishing the context).
Установление контекста позволяет определить и согласовать основные параметры управления рисками, включая цели и критерии. Оно включает определение внутренних и внешних параметров, имеющих отношение как к организации в целом, так и к конкретному подлежащему оценке риску.
Оно включает:
- Установление внешнего контекста – окружающей среды, в которой функционирует организация (культурной, политической, законодательной, финансово-экономической, конкурентной на местном, региональном, национальном или международном уровне).
- Установление внутреннего контекста (возможностей организации в терминах знаний и ресурсов; информационных потоков и процесса принятия решений; участников процесса принятия решений; целей и стратегий; представлений, ценностей и культуры; политик и процессов; стандартов и нормативных моделей, адаптированных к организации; организационной структуры).
- Установление контекста риск-менеджмента (определение подотчетности и ответственности; масштабов риск-менеджмента в целом и в терминах времени и места; определение взаимосвязей; методологии оценки риска; критериев риска, критериев оценки качества управления рисками, идентификация и спецификация решений и действий и определение, какие исследования необходимо провести и какие ресурсы для этого потребуются).
- Определение критериев включает: природу и типы последствий и способы их измерения; способ, которым будут представлены вероятности; как будет определяться уровень риска; критерий, согласно которому будет определяться, нуждается ли риск в управлении; критерий для определения, является ли риск принимаемым и/или допустимым; будут ли приниматься во внимание комбинации рисков и каким образом это будет делаться.
Критерии могут основываться на следующих источниках: согласованные цели процессов; установленные критерии; общедоступные источники данных; общепринятые критерии отрасли; риск-аппетит организации; законодательные и иные требования.
Процесс оценки рисков
Процесс оценки рисков в международных стандартах рассматривается, как состоящий из:
1) идентификации;
2) анализа;
3) определения степени рисков (стандарт ISO 31000), и
a) анализа (включающего идентификацию, описание и измерение) и
b) качественной/количественной оценки рисков (стандарт FERMA).
Идентификация риска
(материал подготовлен с использованием текста [1])
Угроза, согласно словарю С.И. Ожегова [2], это возможная опасность.
Опасность - «возможность, угроза чего-нибудь очень плохого, какого-нибудь несчастья".
Уязвимость - наличие слабости, малой защищенности.
То есть угроза и опасность – это уже возникшая возможность того, что случится нечто плохое. В отличие от риска, подразумевающего ситуативную характеристику возможности получения как отрицательного, так и положительного результата. Уязвимость же можно понимать, как наличие недостатков, слабостей, которые дают возможность реализоваться рискам, повышают их вероятность.
Таким образом, уязвимости можно считать внутренними источниками риска.
Согласно Международному стандарту ISO «Риск-менеджмент – Принципы и руководства», источник риска – элемент, который сам по себе или в комбинации с другими имеет внутренний потенциал для возникновения риска.
Идентификация риска невозможна без идентификации источников риска, следовательно, определения, в том числе, угроз, опасностей и уязвимостей.
Организация должна определить источник риска, области его влияния, рисковые случаи (включая изменение обстоятельств), их причины, а также их потенциальные последствия.
Цель данного шага – составить исчерпывающий список рисков, основанный на тех рисковых случаях, которые могут предотвратить, ухудшить, сократить степень достижения целей. То есть тех событий, которые в состоянии негативно повлиять на процесс и результат достижения целей. Также важно идентифицировать риски, связанные с упущенными возможностями. Риск, который не был идентифицирован на этой стадии, не будет включен в дальнейший анализ.
Идентификация должна охватывать все риски (вне зависимости от того, находится ли их источник под контролем организации), даже если источник риска или его причина не очевидны.
Организация должна применять инструменты и техники идентификации рисков, которые соответствуют ее целям и возможностям, а также рискам, с которыми она столкнулась.
Данные, полученные на этапах идентификации, анализа и определения степени риска, нуждаются в обработке и соответствующем представлении.
Библиография
- Международный стандарт ISO 31000 «Риск-менеджмент – Принципы и руководства» Первое издание 2009-11-15
- Ожегов, С.И.; Шведова, Н.Ю. Толковый словарь русского языка Издательство: М.: ИТИ Технологии; Издание 4-е, доп.; 2008 г., – 944 с.
- Стандарт управления рисками (Risk Management Standard) FERMA (Federation of European Risk Management Association). 2002 http://www.ferma.eu/wp-content/uploads/2011/11/a-risk-management-standard-russian-version.pdf
Дата публикации: 22.10.2014