Кто такой владелец риска
Перейти к содержимому

Кто такой владелец риска

  • автор:

Risk owners — what do they do?

Pasted image 0

Even the most well-crafted projects entail a certain degree of risk. Because project risk is inevitable, project managers should do everything within their power to anticipate and mitigate events that could potentially derail progress. Risk awareness should be integrated into the framework of your project to protect success and avoid jeopardy. Part of the risk management process involves designating a risk owner for tasks throughout your team.

Imagine a scenario where, as project manager, you’re responsible for overseeing a 2-year project. During your yearly holiday, you get a call from a project team member — something has happened that poses a serious risk to the project. You calmly tell them, “It’s fine.” You hang up, call the designated risk owners, and they inform you that everything is under control — they’re executing the risk response plan that was put in place at the beginning of the project. You hang up the phone, worry-free, and continue to enjoy the splendid sunshine and dry martinis with a sea view.

The reason this was possible was that there was a clear risk management framework in place from the get-go. In the beginning, risk management identified risk factors and put response plans in place to minimize interruption halfway through.

Who is a risk owner in a project?

In project management, the risk owner is the person responsible for identifying, managing, monitoring, and mitigating risks within a project. While the role of risk owner varies depending on project size and scope, they’re typically responsible for identifying potential risks, developing risk management plans, and monitoring the project for changes and potential threats. While the role of the risk owner is critical to the success of any project, it’s especially important in large, complex projects. In these cases, stakes are often higher, and the margin for error is low. By taking proactive measures to identify and manage risks, the risk owner helps ensure that a project stays on track and meets its objectives.

Since the risk owner holds the ultimate responsibility for managing project risk, it’s important to assign someone who is highly competent and up to the challenge. If anything goes wrong, they hold the final accountability. Now, let’s zoom in a little and go into more detail about the responsibilities of a risk owner.

“Risk owner” is a part of our Project Management Glossary — check out the full list of terms and definitions!

What is a risk owner responsible for?

By taking ownership, the risk owner can help prevent risks from becoming actual problems. In addition, it’s also the risk owner’s responsibility to:

  • Identify, assess, monitor, and manage risks and potential risks
  • Clearly articulate risks in risks statements for stakeholders
  • Determine the appropriate level of risk tolerance
  • Assign stakeholders to sub-risks within an enterprise where appropriate to do so
  • Integrate risk management into overall project operation
  • Create and execute risk response
  • Be vigilant for potential risks from internal and external sources before and during project execution

Risk owner vs. project manager

There are a few key ways in which risk ownership and project management differ. One of the most important ways is in terms of responsibility.

A risk owner is typically responsible for identifying, analyzing, and mitigating risks within a project. In contrast, the project manager is responsible for overall project success.

This means that the project manager must take into account all risks when making decisions about the project, but the risk owner is specifically responsible for managing risk.

Another key difference is in terms of authority. A risk owner typically has the authority to make decisions about how to best manage risks within a project. This is because they are closer to the source of the risk and have a better understanding of its potential impact. By contrast, the project manager typically has more general authority over the project as a whole. This means that the risk owner may need to work closely with the project manager to ensure that risks are being appropriately managed. Finally, there may also be some differences in terms of skills and knowledge. A risk owner often needs to have a deep understanding of risk management principles and tools.

In contrast, a project manager needs to have a more general understanding of all aspects of project management. A risk owner may need to have specific technical knowledge related to the risks involved in a particular project, while a project manager does not necessarily need this same level of expertise. Ultimately, both risk owners and project managers play vital roles in ensuring the successful completion of a project and should work closely together.

How risk owners improve project success rates

Risk is often thought of as a negative force, something to avoid at all costs. But in the world of project management, risk can actually be a positive force. By identifying and owning risks, project managers can improve the chances of project success. When a risk has been identified, the risk owner can develop a plan to mitigate or avoid the risk entirely. This allows for proactive rather than reactive decision-making. This can make all the difference in the success of a project. By taking responsibility for risks, risk owners build trust with their team members and stakeholders. As such, risk ownership can be an important tool in achieving project success. Moreover, by strategically managing risk and putting risk response measures in place, risk owners develop valuable skills. The ability to effectively control risk is an asset worth having for any business.

Benefits of appointing a risk owner prior to the start of a project

Allocating risk owners to projects has a number of benefits. While some of the advantages may not be noticeable unless faced with a risk event, having the ability to quickly respond to and recover from threats is paramount for ensuring project success. Here’s how it’s beneficial:

  • Peace of mind: Knowing that risks have been evaluated and a response plan has already been put in place gives managers and stakeholders peace of mind when moving forward with a project. This way, the team can focus on driving success with fewer worries about potential setbacks.
  • Fewer disruptions meeting project objectives: Even the most carefully planned projects come with surprises. But by assigning a risk owner, your project will be subject to fewer mishaps and disruptions, allowing you to reach objectives more effectively.
  • More confidence from stakeholders: When stakeholders know that you’ve put the background work in and preemptively planned for risk events, they’ll feel more confident about engaging in projects with you.

Top monday.com features for mitigating risk

Risk management is an essential part of any project, and monday.com offers a variety of helpful features for mitigating risk. One of the most useful tools is the Risk Register Template. This template allows users to track and manage risks throughout the project lifecycle, from identification to mitigation. It includes fields for risk description, probability, impact, and mitigation actions. This information can then be used to prioritize risks and develop response plans. In addition, our features allow you to monitor risks throughout the project lifecycle and ensure that they are being appropriately managed. By using monday.com for risk management, you can ensure that your projects are well-protected against potential threats.

Frequently asked questions

Who is the risk owner in a project?

A risk owner is a project manager who is responsible for identifying, assessing, and mitigating risks within a project. Because risks can have a significant impact on the outcome of a project, it’s important for risk owners to have a clear understanding of the potential consequences of each risk.

When should project managers engage in risk management?

Risk management is important for any type of project, as there’s always some risk involved. However, the larger the project and the more resources that have been allocated to it, the more important risk management is. It’s particularly important to anticipate potential risks on large projects that have many moving parts.

Управление рисками: модель процесса и компетенций

Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.

Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.

Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).

Рис. 1. Структура основных понятий риск-менеджмента

Представленная модель построена на основе следующей логики.

  1. Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
    • внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
    • внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
  2. Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
  3. Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
  4. Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
    Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:
    • природный;
    • биосоциальный;
    • техногенный;
    • экологический;
    • профессиональный;
    • информационный;
    • экономический;
    • террористический;
    • кибернетический;
    • иной [6].
  5. Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
    • идентификатор;
    • наименование и описание, в том числе:
      ○ источник опасного события;
      ○ объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
      ○ последствия опасного события [3];
    • этап жизненного цикла продукции (услуги) при возникновении опасного события;
    • возможные последствия;
    • необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].

В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:

  • идентифицированные опасные события (инциденты — центральные узлы диаграммы);
  • источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
  • установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).

Рис. 2. Диаграмма «галстук-бабочка»

Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.

  • источники данных;
  • средства контроля;
  • методы анализа;
  • последствия реализации опасного события;
  • вероятность наступления опасного события;
  • оценка уровня риска [6].

Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:

  • шкала последствий (табл. 2);
  • шкала вероятности (табл. 3).

Примечание: объекты воздействия опасного события приведены для примера.

Таблица 3. Шкала оценивания вероятности наступления опасного события

Оценка вероятности,
%		 Качественная оценка вероятности, баллы
Очень высокая — 81–100 Очень высокая — 5
Высокая — 61–80 Высокая — 4
Средняя — 21–60 Средняя — 3
Низкая — 1–20 Низкая — 2
Очень низкая — менее 1 Очень низкая — 1

Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).

Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:

  • определение критериев приемлемости риска;
  • сопоставление оценки риска с критериями приемлемости;
  • заключение о приемлемости риска и необходимости его обработки [6].

По результатам анализа определяется уровень риска в следующих интервалах:

  • ранг 0 — риск отсутствует, никакие действия не предпринимаются;
  • 0–4 — риск низкий, предпринимаются низкозатратные действия;
  • 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
  • 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
  • 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].

После оценки риска наступает этап его обработки / модификации посредством:

  • избежания, т. е. отказа от деятельности;
  • принятия;
  • устранения источника риска;
  • изменения его вероятности;
  • изменения его последствий;
  • разделения риска с другой стороной [2].

Обработка риска включает следующие этапы:

  • определение целей обработки риска;
  • определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
  • разработка и осуществление плана обработки риска [3].

Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:

  • измеряться в процентах, представлять собой число (номер) или соотношение;
  • определяться сопоставимыми значениями за определенный промежуток времени;
  • иметь базовые значения;
  • иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].

Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.

Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:

  • соблюдать принципы менеджмента риска;
  • нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
  • формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].

Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:

  • знание политики, стратегии и целей организации в области менеджмента риска;
  • понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
  • знание процессов и специфики работы организации;
  • знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
  • знание и правильное использование терминов менеджмента риска;
  • знание карты этого процесса;
  • знания в области применения реестра риска.

Основные требования к навыкам менеджеров по риску включают способности:

  1. Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
  2. Применять критерии допустимого риска организации.
  3. Задействовать методы оценки риска.
  4. Использовать методы разработки и ведения реестра риска.
  5. Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
  6. Использовать методы анализа менеджмента риска и управления документацией в этой области.
  7. Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
  8. Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
    • перечень опасных событий, связанный с ними риск и способы обработки;
    • оценку эффективности мер по обработке ключевых видов рисков;
    • произошедшие изменения за отчетный период;
    • необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
    • предполагаемую причину неэффективности мероприятий по обработке риска;
    • необходимые действия для выполнения мероприятий по обработке риска;
    • меры повышения эффективности риск-менеджмента [6].
  9. Обеспечивать понимание риска персоналом организации.
  10. Согласовывать процесс риск-менеджмента с общей системой процессов организации.
  11. Внедрять решения, принятые по результатам оценки риска.
  12. Поддерживать и постоянно улучшать систему риск-менеджмента.

Оценка риска осуществляется группой, включающей следующие роли:

  • владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
  • руководитель группы — управляет выполнением оценки риска;
  • эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
  • помощник — оказывает помощь при оценке риска, организует совещания по ней;
  • участник — активно участвует в процессе оценки риска [3].

Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:

  • цель: постоянное определение, анализ, обработка и мониторинг рисков;
  • выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
  • виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.

В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).

Рис. 3. IDEF0-модель процесса менеджмента риска

Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.

Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.

Код регистрации (в реестре) и название риска (опасного события)

Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].

Тип риска (внешний или внутренний)

При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].

Вид риска (экономический, технический, социальный, экологический)

Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].

Владелец риска (ответственный за менеджмент риска)

  • Владелец риска — лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками [2].
  • Ответственность за менеджмент риска, в том числе за его контроль и мониторинг, должна быть возложена на ответственного менеджера по риску или группу менеджмента риска [7].

Риск-менеджеры (эксперты по оценке риска)

  • Для идентификации рисков необходимо привлекать людей, обладающих соответствующими знаниями [2].
  • Высшее руководство должно назначить во всех подразделениях организации квалифицированный персонал, ответственный за внедрение результатов анализа и оценки риска [5].

Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)

При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:

  • организация в целом, ее структурное подразделение или его часть;
  • продукция, услуга, процесс или вид деятельности;
  • персонал или отдельные работники [7].

Заинтересованные (причастные) стороны, подверженные риску

  • При выборе вариантов воздействия на риск организация должна рассматривать значения и восприятие заинтересованных сторон и наиболее подходящие способы обмена информации с ними [2].
  • Основные заинтересованные стороны должны быть привлечены к работе по установлению целей и области применения оценки риска, а в дальнейшем — в группу оценки риска для обеспечения объективности выводов [3].

Источник и условия возникновения риска (опасного события)

Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].

Уровень (балл) последствий воздействия риска (опасного события)

  • При анализе последствий определяют характер и тип воздействия, которое может произойти при возникновении конкретного события, ситуации или обстоятельств [2].
  • Группа оценки риска должна внимательно проанализировать весь диапазон последствий для каждого опасного события, при этом необходимо использовать таблицу последствий. Каждый вид последствий должен быть зарегистрирован в реестре риска [3].

Уровень (балл) вероятности возникновения опасного события

После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].

Оценка уровня (ранга) риска

Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].

Решение о необходимости обработки риска

  • Оценивание риска включает сравнение уровня риска, выявленного в процессе анализа, с установленными критериями риска во время рассмотрения ситуации (контекста) [2].
  • Целью сравнительной оценки риска малой организации является принятие на основе результатов анализа риска и критериев приемлемости риска решений о необходимости обработки риска и о расстановке приоритетов при ее выполнении [7].

Мероприятия по обработке риска (снижению вероятности и/или последствий)

Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:

  • детальное обоснование причин для выбора метода обработки риска;
  • ожидаемые преимущества выбранного метода обработки риска;
  • предлагаемые действия;
  • необходимые ресурсы;
  • распределение ответственности и полномочий;
  • календарный план выполнения работ;
  • критерии качества работы;
  • требования к обмену информацией и мониторингу [3].

Ответственный за обработку риска

Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:

  • менеджеров по риску, если в качестве стратегии снижения риска выбраны его устранение, снижение или оптимизация;
  • ответственную сторону, если в качестве стратегии снижения риска выбрана его передача;
  • ответственного, наделенного полномочиями принятия риска, если оно выбрано в качестве стратегии снижения риска [6].

Срок выполнения мероприятий по обработке риска

Этапы обработки риска включают в себя:

  • выбор стратегии обработки риска;
  • оценку последствий, вероятности опасного события и риска после применения выбранной стратегии обработки;
  • идентификацию мероприятий по обработке риска;
  • определение сроков выполнения мероприятий по обработке риска;
  • определение ответственных за выполнение мероприятий;
  • оценку результатов обработки риска [6].

Индикаторы мониторинга риска

  • Должна быть четко определена ответственность за проведение мониторинга и пересмотра рисков. Процессы мониторинга и пересмотра, осуществляемые организацией, должны затрагивать все аспекты процесса риск-менеджмента. Результаты мониторинга и пересмотра должны быть документированы [2].
  • Организация должна обеспечивать непрерывность процесса менеджмента риска, по этому необходимо проводить регулярный мониторинг всех его видов и пересмотр записей в реестре [7].
  • Для повышения эффективности контрольных процедур с помощью ключевых индикаторов риска необходимо:
    ○ выбрать индикаторы для каждого значимого риска;
    ○ определить интервалы значений индикаторов, соответствующие приемлемому риску, высокому риску и т. п.;
    ○ документировать проведение мониторинга индикаторов и предоставления соответствующей отчетности руководству [9].
  • Все организации должны иметь перечень индикаторов риска, которые видоизменяются с течением времени. Перечень индикаторов должен подвергаться периодическому анализу и пересмотру [9].
  • Службы внутреннего контроля и аудита должны с определенной периодичностью производить проверки ключевых индикаторов риска на своевременность предоставления, достоверность данных, актуальность [9].
  • Отчет должен содержать и структурировать следующую информацию:
    ○ источник информации для каждого индикатора;
    ○ лицо, ответственное за предоставление данных;
    ○ частоту обновления данных;
    ○ планирование, сроки и время исполнения [9].

Сведения о результативности и эффективности обработки риска (оценка и опыт)

  • В реестр риска включают также оценку выполнения мероприятий по обработке риска [6].
  • В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
    ○ реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
    ○ карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
    ○ панель риска, содержащую информацию о ключевых индикаторах риска и динамике их изменения во времени;
    ○ отчеты о выполнении планов обработки риска;
    ○ аналитическое заключение о защищенности организации — детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба [9].

Направления улучшения инфраструктуры риск-менеджмента

  • Организациям рекомендуется разрабатывать, внедрять и постоянно улучшать инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру [2].
  • В рамках системы менеджмента риска необходимо установить систему отчетности об оценке риска, эффективности средств контроля и методов управления и мероприятий по обработке риска [5].

Периодичность актуализации оценки риска (реестра риска)

  • Процесс менеджмента риска должен быть непрерывным, поэтому менеджерам по риску следует проводить регулярный мониторинг всех видов риска и пересмотр записей в реестре, направленный на обеспечение достижения целей организации и выполнения установленных требований к риску. Для этого необходимы:
    ○ проведение регулярного анализа каждого риска, направленного на оценку полноты и правильности соответствующих описаний и расчетов, их соответствия существующим угрозам, последствиям, оценкам вероятности их появления, выбранной стратегии менеджмента риска и достаточности мер, направленных на снижение риска;
    ○ идентификация ключевых видов риска ответственным за менеджмент риска организации и обмен информацией о них с причастными сторонами;
    ○ актуализация мероприятий, направленных на снижение риска [6].
  • Анализ и пересмотр реестра риска следует проводить не реже одного раза в год. Периодичность анализа и пересмотра реестра риска устанавливает высшее руководство организации. Анализ и пересмотр реестра должны включать в себя обсуждение проблем, связанных с новыми видами идентифицированного риска и исключением из реестра риска устаревшей информации [6].

Дата актуализации сведений о риске (в реестре)

Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:

  • названия параметров риска указываются в поле «Раздел» атрибутов документа;
  • содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;

Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio

Рис. 5. Карточка раздела документа

Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.

Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).

Рис. 6. Шаблон пользовательского отчета «Паспорт риска»

В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).

Рис. 7. Отчет «Паспорт риска»

Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.

  1. Лист «Матрица рисков» (рис. 8):
    • средневзвешенный уровень рисков организации (например, 10,25);
    • матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
    • список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.

Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу

  • ранг уровня риска (например, 12);
  • сведения (содержание) о параметрах риска;
  • параметры риска (ссылки).

Рис. 9. Лист «Риски» Excel-отчета по мониторингу

  • наименование раздела (нормативно-справочного) документа;
  • требования и рекомендации стандартов для параметра риска.

Рис. 10. Лист «Требования» Excel-отчета по мониторингу

Для удобства навигации отчет содержит необходимые автоматические ссылки.

Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.

Источники информации:

Опубликовано по материалам:
«Менеджмент качества», 03/2019.

Определение владелец риска

vladelets riska,risk likvidnosti, upravlenie riskami

Вариант 1 Руководитель подразделения (бизнес-процесса), на стратегические илиоперационные цели которого оказывает прямое влияние данный риск.

Анонс. полезные ссылки:

Финансовый блог, карьера и развитие https://www.cfo.by/

Сайт бесплатного поиска сотрудников и работы, проектов https://finrabota.by/

Обучение для CFO. Онлайн / офлайн https://fdkurs.ru/

Клуб финансовых директоров https://club.cfo.by/

Вариант 2 Лицо или организационная единица, которые имеют полномочия и несут ответственность за управление рисками.

Вариант 3 Владелец процесса, наиболее заинтересованный в управлении выбранным риском.

Риски в управлении финансами логично рассматривать на 3-х взаимосвязанных уровнях:

  1. Операционном
  2. 2. Инвестиционном
  3. Финансовом

Финасисты обратят внимание, что по аналогичному принципу выстроен отчет о движении денежных средств

  1. зависимость от персонала
  2. гос. регулирование
  3. банкротства

Рыночные риски. Понятие рыночных рисков объединяет риски, возникающие при незакрытых позициях в валютных сделках вследствие изменения рыночных цен. Эти риски называют также трансакционными или операционными. Неблагоприятные изменения обменного курса или процентных ставок приводят при открытых позициях к потерям этих сделок.

Валютный риск — это риск потерь при покупке-продаже иностранной валюты по разным курсам. При этом изменение курсов валют по отношению друг к другу происходит в силу действия многочисленных факторов:

— изменение внутренней стоимости валют;

— постоянного перелива денежных потоков из страны в страну;

— валютных спекуляции и т.д.

Валютный риск включает в себя:

Экономический риск для предприятия состоит в том, что стоимость его активов и пассивов может меняться в большую или меньшую сторону (в национальной валюте) из-за возможных изменений курса в будущем. Это также относится к инвесторам, зарубежные инвестиции которых (акции или долговые обязательства) приносят доход в иностранной валюте.

Риск перевода имеет бухгалтерскую природу и связан с различиями в учете активов и пассивов предприятия в иностранной валюте. В том случае, если происходит падение курса иностранной валюты, в которой выражены его активы, их стоимость уменьшается.

Риск сделок — это вероятность наличных валютных убытков по конкретным операциям в иностранной валюте. Он возникает из-за неопределенности стоимости в национальной валюте инвалютной сделки в будущем. Данный вид риска существует как при заключении торговых контрактов, так и при получении величины поступлений или платежей при пересчете в национальную валюту.

Следует различать валютный риск для импортера и риск для экспортера:

Риск для экспортера — это падение курса иностранной валюты с момента получения или подтверждения заказа до получения платежа и во время переговоров;

Риск для импортера — повышение курса валюты в отрезок времени между датой подтверждения заказа и днем платежа..

Риск изменения своп-ставки. Риск изменения своп-ставки возникает тогда, когда своп-позиции не согласованы по срокам или совсем не закрыты. Неблагоприятное изменение процентных ставок негативно отразится на процентной разнице и тем самым на своп-ставке. Но процентные и своп-ставки подвергаются не только процентному риску, но и риску, связанному с фактором времени. Своп- и процентные позиции закрываются часто без согласования как по суммам, так и по срокам..

Процентный риск. Незакрытая кредитная позиция содержит так называемый риск изменения процентных ставок, т.е. риск неблагоприятной их динамики. Если выдача или получение денег не закрыты в ожидании, что эти сделки могут быть заключены позднее по более благоприятной процентной ставке, возникает опасность негативного изменения ставок и потерь при закрытии позиции..

Риск контрагента.Это понятие включает риски, которые возникают при невыполнении контрагентом договорных обязательств по сделке. Прежде чем остановиться на этих рисках, возникающих из-за неисполнения контракта контрагентом, необходимо упомянуть и о политических или страновых рисках. При заключении сделок с банками в политически нестабильных странах возникают форс-мажорные обстоятельства заключающиеся в том, что государственные органы запретят денежные переводы из страны или заморозят иностранные активы, так что партнер по сделке не сможет выполнить своих обязательств..

Риск перечисления (трансфертный). Потери, которые могут возникнуть при проведении платежей по валютным и процентным сделкам, обычно меньше, чем при рассмотренных рисках, но все же они могут быть значительными..

Риск исполнения. При любой валютной и кредитной сделке существует опасность, что партнер по сделке не исполнит своих обязательств, взятых при заключении сделки, т.е. валюта, проданная ему, может не вернуться. Если об этом станет известно в течение срока сделки, банк, ожидающий поступление денег и уже заключивший противоположную сделку, должен закрыть ожидаемую сумму по текущему курсу. От сложившейся рыночной ситуации зависит, принесет эта новая сделка прибыль или убытки.

Риск исполнения форвардной сделки всегда оценивается выше, чем риск исполнения сделки спот, поскольку опасность значительных негативных изменений курса в период форвардной сделки больше, чем в течение двух дней исполнения сделки спот. Потери возникают только тогда, когда сделка закрывается по более неблагоприятному курсу, чем курс первоначальной сделки. _

Риск платежа. Риск платежа также связан с неисполнением валютного контракта, но он возникает при расчетах в день платежа. Поскольку при валютных сделках на межбанковском рынке расчеты осуществляются на различных площадках, при исполнении платежа из-за разницы во времени часто неизвестно, произвел ли оплату партнер по сделке.

В международной практике применяются три основных способа страхования рисков:

— односторонние действия одного из партнеров;

— операции страховых компаний, банковские и правительственные гарантии;

— взаимная договоренность участников сделки.

На выбор конкретного метода страхования риска влияют такие факторы, как:

— особенности экономических и политических отношений со стороной- контрагентом сделки;

— платежеспособность контрагента сделки;

— действующие валютные и кредитно-финансовые ограничения в данной стране;

— срок покрытия риска;

— наличие дополнительных условий осуществления сделки;

— перспективы изменения валютного курса или процентных ставок на рынке.

Исторически самым первым и наиболее простым методом страхования валютных рисков являлись защитные оговорки, в том числе они применялись после Второй мировой войны.

Золотая оговорка основана на фиксации золотого содержания валюты платежа на дату заключения» контракта и пересчете суммы платежа пропорционально изменению цены золота на дату исполнения.

Паритет валюты — это официально закрепленное соотношение между валютами. При золотом монометаллизме валютный курс опирался на золотой паритет (соотношение валют по их официальному золотому содержанию) и стихийно колебался вокруг него в пределах золотых точек. Однако из-за периодически происходивших колебаний рыночной цены золота и частых девальваций ведущих мировых валют золотая оговорка постепенно утратила свои защитные свойства и совсем перестала применяться со времени принятия Ямайской валютной системы, отменившей золотые паритеты и официальную цену золота.

Валютная оговорка — условие в международном контракте, оговаривающее пересмотр суммы платежа пропорционально изменению курса валюты платежа с целью страхования валютного или кредитного риска экспортера или кредитора.

Наиболее распространенная форма валютной оговорки — несовпадение валюты цены и валюты платежа. При этом экспортер или кредитор заинтересован в том, чтобы в качестве валюты цены выбиралась более устойчивая валюта или валюта, курс которой имеет тенденцию к повышению. Это происходит потому, что при производстве платежа подсчет суммы производится пропорционально курсу валюты цены. Однако если экспортер неверно спрогнозировал тенденции изменения курса валюты, то он понесет убытки.

Составными элементами механизма валютной оговорки являются:

— начало ее действия — зависит от установленного в контракте предела колебаний курса;

— дата базисной стоимости валютной корзины — обычно ею является дата подписания контракта или предшествующий ей день. Иногда применяется скользящая дата базисной стоимости, что создает дополнительную неопределенность валютной оговорки;

— дата или период определения условной стоимости валютной корзины на момент платежа — обычно это рабочий день непосредственно перед днем платежа или несколько дней перед ним;

— ограничение действия валютной оговорки при изменении курса валюты платежа против курса валюты оговорки — определяется путем установления нижнего и верхнего пределов действия оговорки (обычно в процентах к сумме платежа).

Многовалютные оговорки. Для снижения риска падения курса валюты цены на практике получили распространение многовалютные оговорки — условия в международном контракте, оговаривающее пересмотр суммы платежа пропорционально изменению курса корзины валют, заранее выбираемых по соглашению сторон. В состав валютной корзины обычно входят наиболее устойчивые мировые валюты.

Многовалютная оговорка имеет преимущества перед одновалютной:

— валютная корзина как метод измерения средневзвешенного курса валют снижает риск резкого изменения суммы платежа;

— она в наибольшей степени соответствует интересам контрагентов сделки с точки зрения валютного риска, поскольку включает в себя валюты разной стабильности.

— Вместе с тем можно отметить следующие недостатки:

— сложность формулирования оговорки в контракте в зависимости от способа расчета курсовых потерь, неточность которого приводит к различной трактовке сторонами условий оговорки;

— сложность выбора базисной корзины валют.

Существуют многовалютные оговорки, в которых валютная корзина формируется на базе СДР и ЕВРО.

Преимущество применения СДР и ЕВРО как базы многовалютной оговорки заключается в том, что регулярные и общепризнанные их котировки исключают неопределенность при подсчете сумм платежа.

Другими формами многовалютной оговорки являются:

— использование в качестве валюты платежа нескольких валют из согласованного набора, например: доллара, швейцарского франк и фунта стерлингов;

— опцион валюты платежа — на момент заключения контракта цена фиксируется в нескольких валютах, а при наступлении платежа экспортер имеет право выбора валюты платежа.

Ограниченность применения валютной оговорки вообще заключается в том, что она страхует от валютного и инфляционного риска лишь в той степени, в которой рост товарных цен отражается на динамике курсов валют. Примером может служить Россия, где валютные оговорки сейчас практикуются повсеместно, в том числе и при внутренних расчетах.

В мировой практике для страхования экспортеров и кредиторов от инфляционного риска используются товарно-ценовые оговорки — условия, включаемые в международный контракт с целью страхования от инфляционного риска.

К товарно-ценовым оговоркам относятся:

— оговорка о скользящей цене, повышающейся в зависимости от ценообразующих факторов;

— индексная оговорка — условие, по которому суммы платежа изменяются пропорционально изменению цен за периоды с даты подписания до момента исполнения обязательства. Индексные оговорки не получили широкого распространения в мировой практике из-за трудностей с выбором и пересчетом индексов, реально отражающих рост цен;

— комбинированная валютно-товарная оговорка используется для регулирования суммы платежа с учетом изменения валютных курсов и товарных цен. В случае однонаправленной динамики изменения валютных курсов и товарных цен подсчет сумм платежа происходит пропорционально максимально изменившемуся фактору. Если же за период между подписанием и исполнением соглашения динамика валютных курсов и динамика товарных цен не совпадали, то сумма платежа меняется на разницу между отклонениями цен и курсов;

— компенсационная сделка для страхования валютных рисков при кредитовании — сумма кредита увязывается с ценой товара в определенной валюте (может использоваться корзина валют), поставляемого в счет погашения кредита.

Основные понятия

Перед тем как углубиться в тему данной главы, необходимо познакомиться поближе с ее основными понятиями, в число которых входят:

Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни.

Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии.

С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какого-либо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.

Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».

Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:

• снижение темпов реализации продукции предприятия;

• несвоевременная отгрузка продукции;

• необоснованное увеличение объемов производства.

На первый взгляд у данного риска несколько владельцев, поскольку причины указывают на разные варианты развития событий. Однако, с одной стороны, исходную формулировку риска можно уточнить путем прибавления причины риска (например, затоваривание складов готовой продукцией вследствие снижения темпов реализации продукции предприятия). Таким образом, мы получаем три риска. У них персональные владельцы более очевидны, чем у исходного риска:

• дирекция по продажам и маркетингу;

• дирекция по логистике;

• дирекция по производству.

С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов. Определим их следующим образом[4]:

• процесс «Продажи» – своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в краткосрочной перспективе;

• процесс «Управление складской логистикой» – своевременное размещение производимой продукции в складских помещениях, обеспечивающих сохранность в течение оптимального срока хранения;

• процесс «Управление производством» – своевременное производство продукции установленного ассортимента и качества в требуемых объемах.

В свете вышеуказанных целей процессов наиболее заинтересованным в управлении риском затоваривания складов готовой продукцией является владелец процесса «Управление складской логистикой». На достижение целей именно этого процесса реализация данного риска окажет максимальное влияние при условии, что предприятие располагает ограниченными складскими помещениями и его продукция чувствительна к условиям хранения. Владельцу процесса «Управление производством» указанный риск безразличен – его цель будет достигнута независимо от того, происходит затоваривание или нет. Владелец процесса «Продажи» также не особо привязан к риску затоваривания, поскольку его целью является реализация по оптимальным ценам. Если продукция в процессе хранения утратит часть свойств, но будет продана по хорошей цене (пропорционально ниже, чем стоимость качественной продукции), то владелец процесса «Продажи» выполнит поставленную перед ним задачу.

Подводя итог сказанному, еще раз остановимся на ключевых моментах. Во-первых, можно использовать два способа определения владельца риска – дробление исходного риска на более мелкие риски (при этом необходимо правильно установить полный перечень ключевых причин риска) или определение заинтересованности в управлении риском (при этом необходимо отталкиваться от целей процессов). К недостаткам первого способа можно отнести то, что в результате дробления рисков может оказаться слишком много для эффективного управления ими (может потребоваться автоматизация процесса). К недостаткам второго способа можно отнести то, что цели процессов, в отличие от причин рисков, меняются чаще. В связи с этим при каждом изменении целей необходимо пересматривать привязку рисков к имеющимся процессам. Например, используя параметры предыдущего примера, предположим, что компания стала производить продукцию, которую все равно где хранить. Параллельно перед владельцем процесса «Продажи» была поставлена цель «своевременная реализация продукции предприятия по оптимальным ценам, обеспечивающим максимальный финансовый результат в долгосрочной перспективе», что может привести к придерживанию продукции с целью более выгодной продажи в будущем (в расчете, например, на рост цен). В этом случае владельцем риска затоваривания складов становится владелец процесса «Продажи», так как именно его цель больше всего страдает от реализации риска.

Во-вторых, необходимо устанавливать единственного владельца конкретного риска. Когда владельцев одного риска несколько, крайне сложно определить, кто в большей степени отвечает за управление этим риском.

Похожие публикации:
  1. 2 снилса с разными номерами что делать
  2. В какую криптовалюту вложился моргенштерн
  3. Как отозвать юридический адрес у арендатора
  4. Что значит классифицированная закупка товара

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *