Анализ и оценка риска
Анализ риска
Анализ риска – это процесс изучения природы и характера риска и определения уровня риска. Риск характеризуется рядом параметров, например, в первую очередь, необходимо определить, при выполнении какой деятельности или проекта может возникнуть риск, т.е. выделить объект риска.
Если в качестве объекта риска представлена единица деятельности, то риск можно отобразить в виде фигуры на диаграмме. Фигура риска может быть изображена на диаграмме EPC/FAD/VAD/BPMN. Угроза и возможность добавляются на диаграмму в виде разных фигур. Единица деятельности является объектом риска, если между ней и риском есть связь класса "Влияние риска" (рис.1).
Для каждого риска обязательно должны быть определены ответственные лица: владелец риска (лицо или организация, имеющие ответственность и полномочия по менеджменту риска), и сотрудники, которые контролируют вероятность возникновения риска и предпринимают шаги по его нейтрализации. Сотрудник, заходя на портал или в Business Studio, может увидеть риски, для которых он назначен владельцем или контролирующим. В интерфейсе Business Studio для этого предназначены 2 пункта меню в разделе Главного меню Риски: Мои риски и Контроль (рис. 2).
Выбор одного из этих меню открывает справочник Риски, отфильрованный по конкретному сотруднику, с перечнем соответствующих рисков и их параметров (рис. 3).
Также для риска определяются причины его возникновения и последствия, к которым приведет возникновение риска, и разрабатываются мероприятия или активности, которые нейтрализуют риск. Все параметры риска указываются в Окне свойств риска (рис. 4).
Выбор активностей по нейтрализации риска обуславливается выбранной стратегией управления риском. Можно выбрать стратегию «Снижение вероятности» и тогда разрабатывать мероприятия, предупреждающие возникновение риска, а можно выбрать стратегию «Принятие» и тогда разрабатывать мероприятия по накоплению ресурсов и средств для нейтрализации последствий риска на случай его возникновения или разрабатывать «План Б».
При необходимости отследить, насколько хорошо выполняются мероприятия по нейтрализации риска, можно планировать и проводить аудит риска. Подробно механизм аудита описан в разделе Планирование и проведение внутреннего аудита. В качестве объекта аудита указывается риск.
Контрольные процедуры
В качестве мероприятий по нейтрализации риска могут выступать контрольные процедуры.
Контрольная процедура – это действие сотрудника или автоматические операции информационной системы, направленные на то, чтобы уменьшить вероятность возникновения риска или минимизацию негативных последствий его возникновения. Контрольные процедуры могут быть визуально изображены на диаграммах BPMN/EPC/FAD. В качестве контрольной процедуры на диаграмме может быть представлен шаг процесса или объекта класса "Задача". Объект класса Задача не присутствует в виде символа на Палитре элементов, но может быть добавлен на диаграмму из справочника. На рисунке 5 шаг процесса "Передать счета на оплату на утверждение" является контрольной процедурой для риска "Дефицит денежных средств на оплату инструментов", а задача "Проверить наличие и содержание сопроводительной документации" - контрольной процедурой риска "Получены инструменты без документации". Индикатором того, что шаг процесса или задача представляют собой контрольную процедуру, является символ щита в углу фигуры.
Инциденты
Случаи реализации риска называют инцидентами. Каждый инцидент также характеризуется рядом параметров (рис. 6): временем возникновения, временем обнаружения, автоматически рассчитывается время тишины.
Оценка риска
Процесс анализа риска – это процесс изучения природы и характера риска и определения уровня риска. Анализ риска включает в себя оценку риска. Как правило, риск имеет 2 оценки:
- присущую (это оценка риска "как есть") и
- остаточную (это оценка риска после того, как будут реализованы мероприятия по нейтрализации риска).
Кроме того, оценка риска может быть количественной и качественной. Качественная оценка риска – это оценка, заданная в баллах, количественная – в численных значениях. Факт того, количественной или качественной будет оценка риска, задается в параметре Шаблон матрицы (рис. 5). Подробно параметры шаблона матрицы описаны в разделе Матрица рисков.
Доступно 4 типа оценки риска.
Простой
Для расчета оценки риска с помощью этого метода необходимо указать вероятность и силу влияния для самого риска (рис.7). Формула для расчета оценки риска: A= P*I,
где Р – вероятность реализации риска, выражаемая действительным числом из интервала от 0 до 1, где 0 соответствует невозможности реализации риска, а 1 – тому, что риск обязательно возникнет.
I – ущерб от реализации риска.
По максимальным оценкам
Для расчета оценки риска с помощью этого метода необходимо определить причины возникновения риска и последствия риска. Для каждой причины необходимо указать вероятность возникновения риска по этой причине (присущую и остаточную), а для каждого последствия – силу его влияния или ущерб (присущий и остаточный).
Формула расчета оценки риска: A=P*I,
где P – максимальная вероятность, найденная в списке причин риска;
I – максимальная сила влияния, найденная в списке последствий риска.
Рассмотренные 2 типа оценки используются для расчета как количественной, так и качественной оценки риска. Следующие 2 типа оценки рассчитываются только для количественных рисков, т.к. расчет производится при помощи имитации.
По причинам и последствиям
В данном случае оценка рассчитывается при помощи имитации с учетом того, что существует явная зависимость вероятности возникновения последствия от конкретной причины возникновения риска. Зависимость задается на вкладке Тип оценки «По причинам и последствиям» (рис. 8).
После указания причин и последствий риска на соответствующих вкладках (рис. 7), необходимо нажать на гиперссылку Заполнить на вкладке Тип оценки «По причинам и последствиям». Автоматически будет создана матрица «причины-последствия», для каждой строки которой необходимо заполнить присущую и остаточную вероятности: вероятность проявления конкретного последствия по конкретной причине. Для расчета оценки необходимо воспользоваться гиперссылкой Провести имитацию.
Метод Монте Карло
Присущая и остаточнная оценки риска рассчитываются при помощи имитации по формулам, заданным в соответствующих параметрах (рис. 9).
В формуле могут быть использованы другие риски и случайные величины. Их добавление в параметр «Формула» осуществляется путем перетягивания объекта из соответствующего справочника. Риск или случайная величина автоматически добавляется в формулу в квадратных скобках. Параметры случайной величины задаются в ее Окне свойств (рис. 10).
По гиперссылке Провести имитацию открывается окно имитации, в котором отображаются результаты расчета параметров оценок риска по методу Монте Карло (рис. 11).
Важным параметром является Область приемлемых значений – множество значений силы влияния риска, которые рассматриваются владельцем риска как приемлемые. Рассчитывается средняя сила влияния, ее минимальное и максимальное значения, а также формируется гистограмма всех значений. Как правило, под силой влияния риска понимается ущерб, который понесет компания в случае наступления риска. Однако по формуле можно рассчитать и такие параметры, как Объем прибыли, например.
Вероятность рассчитывается как вероятность не попасть в область приемлемых значений. Также рассчитываются Верхний и Нижний перцентили.
Перцентиль – это способ посмотреть на данные в отношении ко всем другим значениям набора данных. Значение перцентиля делит выборку на 2 части. На рис. 11 значение Нижнего перцентиля = 5%, это означает, что в 5% ущерб будет < = 50 000 рублей. Значение Верхнего перцентиля = 95%, это означает, что в 5% случаев ущерб будет > = 550 000 рублей. Соответственно, в 90% случаев ущерб будет находиться в диапазоне [50 000; 550 000].