Оценка рисков
Оценка рисков — это систематический процесс идентификации, анализа и оценивания потенциальных неблагоприятных событий или факторов, способных негативно повлиять на достижение целей организации, проекта или индивида. Результатом оценки рисков является определение уровня риска (как правило, произведения вероятности его наступления на величину возможного ущерба) и принятие решения о необходимости управления им. Оценка рисков является центральным этапом риск-менеджмента и применяется в самых разных сферах: от промышленной безопасности и финансов до здравоохранения и информационных технологий.
История развития
Первые формализованные подходы к оценке рисков возникли в сфере страхования и математической статистики в XVII—XVIII веках, когда были разработаны теории вероятности и законы больших чисел. Однако современное понимание оценки рисков как управленческой дисциплины сформировалось в середине XX века. Значительный импульс развитию дали авиационная и атомная промышленность, где требовалось предсказывать и предотвращать катастрофы. В 1970-х годах в США и Европе начали внедрять методологию анализа опасностей и критических контрольных точек (HACCP) в пищевой промышленности.
В России системный подход к оценке рисков начал активно развиваться в 1990-х годах с переходом к рыночной экономике и внедрением международных стандартов. В 2000-х годах были приняты национальные стандарты, такие как ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения», а позже — серия стандартов ГОСТ Р ИСО 31000, гармонизированных с международными.
Основные этапы оценки рисков
Процесс оценки рисков, согласно стандарту ISO 31000, состоит из трёх последовательных этапов: идентификация рисков, анализ рисков и сравнительная оценка рисков.
Идентификация рисков
На этом этапе выявляются все потенциальные источники опасностей, события, их причины и возможные последствия. Идентификация проводится с использованием различных методов: мозгового штурма, интервью с экспертами, анализа документации, контрольных списков, дерева отказов и событий. Цель — составить максимально полный реестр рисков, характерных для данной деятельности или объекта.
Анализ рисков
Анализ предполагает определение вероятности наступления рискового события и величины его возможных последствий. В зависимости от доступности данных и требуемой точности, анализ может быть:
- Качественным — риски ранжируются по шкалам (например, «низкий», «средний», «высокий») на основе экспертных оценок.
- Количественным — используются математические модели, статистические данные, имитационное моделирование (метод Монте-Карло) для получения численных значений вероятности и ущерба.
- Полуколичественным — комбинирует оба подхода, присваивая балльные оценки.
Сравнительная оценка рисков (оценивание)
На заключительном этапе полученные уровни рисков сравниваются с заранее установленными критериями приемлемости (например, нормативными требованиями, корпоративными лимитами или толерантностью к риску). Риски, превышающие допустимый порог, требуют разработки мер по их снижению (обработке). Риски, находящиеся в пределах приемлемого уровня, могут приниматься без дополнительных действий.
Методы и инструменты оценки
Существует множество методов, выбор которых зависит от отрасли, сложности объекта и целей оценки. Наиболее распространённые:
- Метод «галстук-бабочка» (Bow-tie) — визуальный метод, объединяющий дерево отказов (причины) и дерево событий (последствия) вокруг центрального опасного события.
- Анализ видов и последствий отказов (FMEA) — систематический метод, используемый в машиностроении и производстве для выявления потенциальных дефектов и их влияния на продукт.
- Анализ опасности и работоспособности (HAZOP) — метод, широко применяемый в химической, нефтегазовой и фармацевтической промышленности для анализа технологических процессов.
- Метод Монте-Карло — имитационное моделирование, позволяющее оценить распределение вероятностей возможных исходов при неопределённости входных данных.
- SWOT-анализ — хотя чаще используется в стратегическом планировании, он также помогает идентифицировать риски (слабые стороны и угрозы).
- Матрица вероятности и последствий — простой инструмент для качественного ранжирования рисков в виде таблицы.
Области применения
Промышленная безопасность и охрана труда
В России оценка рисков в области промышленной безопасности регламентируется Федеральным законом № 116-ФЗ «О промышленной безопасности опасных производственных объектов» и подзаконными актами Ростехнадзора. Для опасных производственных объектов (например, химических заводов, нефтехранилищ) обязательным является проведение анализа риска аварий. В сфере охраны труда работодатели обязаны проводить специальную оценку условий труда (СОУТ) и оценку профессиональных рисков в соответствии с Трудовым кодексом РФ.
Финансовый сектор
Банки, страховые компании и инвестиционные фонды используют оценку рисков для управления кредитным, рыночным, операционным и ликвидностным рисками. В России Центральный банк устанавливает нормативы и требования к системам управления рисками для кредитных организаций. Методы оценки включают Value-at-Risk (VaR), стресс-тестирование и скоринговые модели.
Информационная безопасность
Оценка рисков информационной безопасности (ИБ) является основой для построения системы защиты данных. Стандарты, такие как ГОСТ Р ИСО/МЭК 27005, описывают процесс идентификации угроз, уязвимостей и оценки последствий утечки информации. В России с 2020-х годов усилились требования к оценке рисков для объектов критической информационной инфраструктуры (КИИ).
Здравоохранение
В медицине оценка рисков применяется для анализа безопасности пациентов (риски врачебных ошибок, инфекций), для оценки эффективности лекарственных препаратов и медицинских изделий, а также для управления рисками в деятельности медицинских организаций.
Экология
Оценка экологических рисков включает анализ вероятности и последствий загрязнения окружающей среды, аварий на объектах повышенной опасности, а также оценку воздействия на здоровье населения. В России данный вид оценки регулируется законодательством об охране окружающей среды.
Нормативно-правовая база в России
Основным документом, устанавливающим общие принципы риск-менеджмента, является национальный стандарт ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство». Кроме того, существуют отраслевые стандарты и методики, утверждённые федеральными органами исполнительной власти:
- Ростехнадзор — методики анализа риска аварий на опасных производственных объектах.
- Минтруд — методики оценки профессиональных рисков.
- Банк России — нормативные акты по управлению рисками в кредитных организациях.
- ФСТЭК России — методики оценки рисков информационной безопасности.
Критика и ограничения
Несмотря на широкое распространение, оценка рисков имеет ряд ограничений. Во-первых, она часто опирается на субъективные экспертные оценки, что может приводить к неточностям. Во-вторых, многие методы не учитывают редкие, но катастрофические события («чёрные лебеди»), что было продемонстрировано финансовым кризисом 2008 года и аварией на Фукусиме-1 в 2011 году. В-третьих, формальное выполнение оценки ради отчётности, без реального внедрения результатов в управленческие решения, снижает её практическую ценность. В России также отмечается проблема избыточной бюрократизации процесса, особенно в сфере охраны труда и промышленной безопасности.
Источники
- ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».
- Федеральный закон от 21.07.1997 № 116-ФЗ «О промышленной безопасности опасных производственных объектов».
- Трудовой кодекс Российской Федерации (глава о специальной оценке условий труда).
- ISO 31010:2019 «Risk management — Risk assessment techniques».
- К. В. Балдин, С. Н. Воробьёв. Управление рисками: учебное пособие. — М.: ЮНИТИ-ДАНА, 2015.
- Методические рекомендации по оценке профессиональных рисков (Минтруд России, 2021).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →