Содержание и основные этапы управления рисками

В послевоенное время в результате научно-технической  революции появились новая дорогостоящая  техника, прогрессивные технологии. Таким образом, человек сам создал источники крупных рисков (широкое  развитие транспорта, строительство  и освоение крупнейших индустриальных производств и т.п.). Все это  привело к тому, что резко возросли как технические, так и экономические  риски. Поэтому в 50-х годах XX в. управление рисками стало актуальным, обусловив  появление новой профессии - менеджера  по управлению рисками. Однако выделение  самого процесса управления риском и  появление профессиональных менеджеров по управлению рисками утвердились  лишь в начале 70-х годов.

В этот период риск-менеджмент в основном ассоциировался с управлением частными рисками, прежде всего финансовыми, реже производственными, а также (под  специальным названием актуарного анализа) страховыми. Однако к концу XX века превалировала точка зрения об универсальном характере соответствующей  методологии, что обусловило ее быстрое  развитие и распространение ее на новые сферы.

К началу XXI в. управление риском стало более-менее  стандартным элементом менеджмента  не только крупных, но и средних и  мелких фирм. Так, только управление рыночным риском на финансовых рынках американскими  банками, страховыми и финансовыми  компаниями в 1999 г. оценивалось в 2,1 млрд. долл. В 2004 г. эта величина возросла до 4 млрд. долл.

 Общая характеристика системы управления риском

Управление  риском - достаточно сложный вид  деятельности, это связано как  с неоднозначностью самого понятия "риск", так и с многообразием  проявления риска и возможностей преодоления его неблагоприятных  последствий. Поэтому, прежде чем рассматривать  особенности процедур управления риском, следует проанализировать общие  принципы, на которых они базируются.

Свойства  системы управления риском

В первую очередь следует рассмотреть  следующие свойства системы управления риском как таковой.

1. Системный характер управления риском. Это свойство очень важно, так как подразумевает комплексное рассмотрение совокупности всех рисков как единого целого, с учетом всех взаимосвязей и возможных последствий. Кроме получения общей картины, это позволяет учесть не только воздействие инструментов управления риском на тот риск, для борьбы с которым они предназначены, но и их влияние (положительное или отрицательное) на другие риски в зависимости от их места и связей внутри системы, а также появления новых рисков. Такое исследование предполагает рассмотрение таких аспектов управления риском, как:

- целостность, т.е. ориентация на общую оценку совокупности рисков и борьбу с негативными последствиями их реализации с учетом характера взаимосвязи между этими рисками;

- комплексность, т.е. необходимость учета сложности объекта управления (совокупности рисков), включая взаимосвязь между рисками, всевозможные последствия проявления риска и особенности влияния предлагаемых процедур на риск (в том числе ситуаций, когда борьба с одними рисками порождает другие);

- способность системы к интеграции новых элементов, т.е. возможность гибкого реагирования всей системы на появление новых рисков, в том числе и порожденных самой системой управления риском.

2. Сложная структура системы управления риском. Данное свойство подразумевает не только необходимость одновременного анализа большого числа рисков разной природы, т.е. значительную неоднородность совокупности рисков, но и особенности взаимозависимости между рисками, а также возможность ее использования для решения проблем разного уровня. Кроме того, это свойство предполагает изучение характера и степени влияния большого числа факторов на развитие рисковой ситуации и возникновения неблагоприятных последствий. При таком исследовании необходимо учитывать следующие аспекты системы управления риском:

- многофункциональность и универсальность, т.е. способность бороться с рисками разной природы и различными последствиями их реализации;

- модульность, т.е. возможность использования различных сочетаний процедур управления риском в разных ситуациях, что позволяет учесть специфику конкретной ситуации и при необходимости настроить указанную систему на решение индивидуальных потребностей пользователей;

- многоуровневость, т.е. обеспечение подходящей иерархической структуры принятия решений, которая обеспечивает адекватное распределение полномочий и ответственности.

3. Высокая результативность системы управления риском. Это свойство отражает способность исследуемой совокупности мероприятий к снижению возможности возникновения неблагоприятных событий и/или к преодолению их последствий. Указанная система, очевидно, должна оперативно реагировать на изменение условий, т.е. должна обладать развитыми контурами обратной связи, а кроме того, генерировать и воплощать в жизнь действенные решения, ориентированные на достаточно быстрое достижение искомого результата (уменьшение экономических потерь). Для обеспечения подобных требований предполагается соответствие системы управления риском таким аспектам, как:

- гибкость и адаптивность, т.е. способность к приспособлению к стремительно изменяющимся условиям, высокая скорость реагирования, способность быстро справляться с неблагоприятными ситуациями;

- адекватность, т.е. соответствие реализуемых процедур управления риском конкретной ситуации, выражающееся в способности оперативно выделять все ресурсы, необходимые для достижения поставленных целей;

- эффективность, т.е. способность преодолевать негативные последствия возникновения неблагоприятных ситуаций при минимальном объеме соответствующих ресурсов. В частности, система управления риском должна обеспечивать чистый эффект: затраты на риск-менеджмент и размер возможного ущерба после выполнения процедур и методов управления риском должны быть меньше потенциального ущерба до проведения мер по защите фирмы от риска.

Таким образом, управление риском обладает всеми  характеристиками относительно обособленной системы, что свидетельствует о  возможности и необходимости  его использования.

  Основные принципы  управления рисками

Перечисленные выше свойства системы управления риском являются общими, универсальными. Однако система управления риском имеет  определенную специфику, связанную  с особенностями объекта, целей  и методов управления, что находит  свое отражение в основных принципах, на которых базируется управление риском.

К основным принципам управления рисками на уровне фирмы могут быть отнесены следующие:

- система управления риском является частью процедур общего менеджмента фирмы, что означает ее соответствие стратегии развития фирмы и институциональным особенностям ее функционирования;

- особенности системы управления риском отражаются на ее целях и задачах, что подразумевает высокоспециализированный характер принятия решений в рамках системы управления риском;

- при управлении риском следует учитывать внешние и внутренние ограничения, что означает согласование соответствующих специальных мероприятий с возможностями и условиями функционирования фирмы;

- в отношении  всей совокупности рисков должна  проводиться единая политика  по управлению риском, что требует  комплексного и одновременного  управления всеми рисками;

- процесс управления риском носит динамический характер, что связано с непрерывным характером принятия решений, касающихся управления риском.

Эти основные принципы характеризуют особенности  системы управления риском и в  целом проявляются на практике во всех случаях. При этом их конкретная реализация может быть различной. Для  более глубокого понимания указанных  принципов рассмотрим их подробнее.

3.Основные этапы управления рисками

Общие положения

В риск-менеджменте  принято выделять несколько ключевых этапов:

1. выявление риска и оценка вероятности его реализации и масштаба последствий, определение масимально-возможного убытка;
2. выбор методов и инструментов управления выявленным риском;
3. разработка риск-стратегии с целью снижения вероятности реализации риска и минимизации возможных негативных последствий;
4. реализация риск-стратегии;
5. оценка достигнутых результатов и корректировка риск-стратегии.

Ключевым  этапом риск-менеджмента считается  этап выбора методов и инструментов управления риском.

Использование информационных систем связано с  определенной совокупностью рисков. Когда риск (возможный ущерб) неприемлемо  велик, необходимо принять экономически оправданные защитные меры. Периодическая (пере)оценка рисков необходима для  контроля эффективности деятельности в области безопасности и для  учета изменений обстановки.

С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба.

Таким образом, суть работы по управлению рисками  состоит в том, чтобы оценить  их размер, выработать эффективные  и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

• (пере)оценку (измерение) рисков;
• выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению  к выявленным рискам возможны следующие  действия:

• ликвидация риска (например, за счет устранения причины);
• уменьшение риска (например, за счет использования дополнительных защитных средств);
• принятие риска (и выработка плана действия в соответствующих условиях);
• переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно подразделить на следующие этапы:

1. выбор анализируемых объектов и уровня детализации их рассмотрения;
2. выбор методики оценки рисков;
3. идентификация активов;
4. анализ угроз и их последствий, определение уязвимостей в защите;
5. оценка рисков;
6. выбор защитных мер;
7. реализация и проверка выбранных мер;
8. оценка остаточного риска.

Этапы (6) и (7) относятся к выбору защитных средств (нейтрализации рисков), остальные  — к оценке рисков.

Уже перечисление этапов показывает, что управление рисками — процесс циклический. По существу, последний этап — это  оператор конца цикла, предписывающий вернуться к началу. Риски нужно  контролировать постоянно, периодически проводя их переоценку. Отметим, что  добросовестно выполненная и  тщательно документированная первая оценка может существенно упростить  последующую деятельность.

Управление  рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный  цикл ИС. Тогда эффект оказывается  наибольшим, а затраты — минимальными. Можно выделить пять основных этапов жизненного цикла ИС:

• инициация;
• закупка (разработка);
• установка;
• эксплуатация;
• выведение из эксплуатации.

Кратко  опишем, что может дать управление рисками на каждом из перечисленных  этапов.

На этапе  инициации известные риски следует  учесть при выработке требований к системе вообще и средствам  безопасности в частности.

На этапе  закупки (разработки) выявленные риски  способны помочь при выборе архитектурных  решений, играющих ключевую роль в обеспечении  безопасности.

На этапе  установки выявленные риски следует  учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению  системы в эксплуатацию.

На этапе  эксплуатации управление рисками должно сопровождать все существенные изменения  в системе.