Управление рисками
Управление рисками — это процесс идентификации, анализа, оценки и разработки мероприятий по минимизации или устранению неблагоприятных событий, способных оказать негативное влияние на достижение целей организации, проекта или физического лица. Является составной частью корпоративного управления и проектного менеджмента, а также применяется в финансах, страховании, промышленной безопасности, здравоохранении и государственном управлении. В основе управления рисками лежит систематический подход к выявлению неопределённостей и принятию решений в условиях неполной информации.
История
Систематическое осмысление риска как управляемой категории началось в XX веке, хотя практические методы снижения ущерба существовали с древности (например, морское страхование в античном Средиземноморье). В 1952 году экономист Гарри Марковиц опубликовал работу по теории портфельных инвестиций, заложившую основы количественного анализа финансового риска. В 1960–1970-е годы методы управления рисками активно развивались в аэрокосмической и атомной промышленности: Национальное управление по аэронавтике и исследованию космического пространства США разработало процедуры анализа отказов, а Международное агентство по атомной энергии ввело вероятностные оценки безопасности для ядерных реакторов.
В 1980-е годы после ряда крупных промышленных катастроф (Бхопальская газовая трагедия 1984 года, авария на Чернобыльской АЭС 1986 года) управление рисками стало обязательным для многих отраслей. В 1990-е годы появились международные стандарты, такие как ISO 31000 (первая версия — 2009 год), и концепция COSO ERM (Интегрированная структура управления рисками Комитета спонсорских организаций Комиссии Тредвея). В XXI веке с развитием цифровых технологий и глобализации акцент сместился на киберриски, репутационные риски и риски цепочек поставок.
Классификация рисков
Риски подразделяются по различным признакам. Основные классификации:
По источнику возникновения
- Природные — наводнения, землетрясения, ураганы, эпидемии.
- Техногенные — аварии на транспорте, промышленные выбросы, отказы оборудования.
- Экономические — инфляция, изменение процентных ставок, колебания валютных курсов, банкротство контрагентов.
- Политические — изменения законодательства, национализация, санкции, военные конфликты.
- Социальные — забастовки, демографические сдвиги, изменение потребительских предпочтений.
По возможности управления
- Систематические — рыночные, макроэкономические, не поддающиеся диверсификации в рамках одного портфеля.
- Несистематические — специфические для отдельной компании или проекта, могут быть снижены за счет внутренних мер.
Процесс управления рисками
Управление рисками обычно включает несколько последовательных этапов:
Идентификация
Выявление всех потенциальных событий, способных повлиять на достижение целей. Используются такие методы, как мозговой штурм, анализ документов, интервью с экспертами, метод Дельфи, построение деревьев отказов (FTA) и диаграмм «галстук-бабочка». Идентификация проводится на всех этапах жизненного цикла продукции или проекта.
Анализ и оценка
Определение вероятности наступления риска и степени возможного ущерба. Анализ может быть качественным (ранжирование по категориям «высокий», «средний», «низкий») или количественным (расчёт ожидаемых потерь в денежном выражении, моделирование методом Монте-Карло, расчёт Value at Risk — VaR). Оценка позволяет приоритезировать риски: риски с высокой вероятностью и высокой тяжестью последствий требуют первоочередного внимания.
Планирование реагирования
Разработка стратегий и конкретных мероприятий. Основные стратегии:
| Стратегия | Описание | Пример |
|---|---|---|
| Избежание | Отказ от деятельности, порождающей риск | Прекращение производства опасного химического вещества |
| Снижение | Уменьшение вероятности или ущерба | Установка противопожарной сигнализации, диверсификация поставщиков |
| Передача | Перенос риска на третью сторону | Страхование, аутсорсинг, заключение хеджирующих контрактов |
| Принятие | Осознанное согласие на риск без активных мер | Резервирование средств на случай неблагоприятных событий |
Мониторинг и контроль
Постоянное отслеживание идентифицированных рисков, выявление новых, оценка эффективности принятых мер и корректировка планов. Мониторинг включает регулярные отчёты, аудиты, пересмотр предположений и обновление реестра рисков.
Методы и инструменты
В практике управления рисками применяются как простые, так и сложные аналитические инструменты:
- SWOT-анализ — выявление сильных и слабых сторон, возможностей и угроз.
- PEST-анализ — оценка политических, экономических, социальных и технологических факторов.
- Анализ чувствительности — определение влияния изменения одного фактора на конечный результат.
- Сценарный анализ — построение нескольких вероятных картин будущего (оптимистичная, пессимистичная, наиболее вероятная).
- Матрица вероятности и последствий — графическое ранжирование рисков по двум осям.
- Количественная оценка риска (QRA) — численное моделирование аварийных ситуаций, применяется в промышленной безопасности и страховании.
Управление рисками в различных сферах
Финансовый сектор
Банки, страховые компании и инвестиционные фонды обязаны управлять кредитными, рыночными, ликвидными и операционными рисками в соответствии с нормами Базельского комитета по банковскому надзору (Базель I, II и III). Используются модели оценки кредитоспособности заёмщиков, расчёт достаточности капитала, стресстестирование.
Промышленная безопасность
На опасных производственных объектах (нефтегазовая, химическая, горнодобывающая отрасли) управление рисками включает декларирование промышленной безопасности, оценку рисков аварий, внедрение систем управления, соответствующих требованиям федеральных норм и правил в области промышленной безопасности.
Управление проектами
Согласно стандартам PMBOK (Project Management Body of Knowledge), управление рисками — одна из десяти областей знаний. В проектах проводятся идентификация, качественный и количественный анализ, планирование реагирования и мониторинг рисков. Для учета рисков в бюджете проекта создаются резервы на непредвиденные обстоятельства.
Информационная безопасность
Угрозы утечки данных, кибератак и сбоев в работе информационных систем оцениваются с помощью методологий, таких как NIST SP 800-30, ISO/IEC 27005. Организации разрабатывают политики информационной безопасности, проводят аудит защищенности и внедряют технические средства защиты (антивирусы, межсетевые экраны, системы предотвращения вторжений).
Здравоохранение
Управление рисками в медицине включает анализ ошибок диагностики и лечения, контроль внутрибольничных инфекций, обеспечение безопасности лекарственных средств, а также организацию системы сообщения о нежелательных явлениях. В ряде стран (например, в Великобритании) действуют национальные системы управления рисками в здравоохранении.
Нормативно-правовая база в России
В Российской Федерации управление рисками регулируется рядом документов:
- ГОСТ Р ИСО 31000-2019 — «Менеджмент риска. Принципы и руководство» (аутентичен международному стандарту ISO 31000:2018).
- ГОСТ Р 58771-2019 — «Менеджмент риска. Технологии оценки риска».
- Федеральный закон № 116-ФЗ от 21 июля 1997 года «О промышленной безопасности опасных производственных объектов» — обязывает разрабатывать декларации промышленной безопасности и проводить оценку риска аварий.
- Федеральный закон № 225-ФЗ от 27 июля 2010 года «Об обязательном страховании гражданской ответственности владельца опасного объекта…» — регулирует передачу рисков в страхование.
- Методические рекомендации Ростехнадзора — детализируют порядок количественной оценки риска для опасных производственных объектов.
Критика и ограничения
Управление рисками не гарантирует полного устранения неопределённости. Критикуется за следующие недостатки:
- Иллюзия контроля — формальные процедуры могут создавать ложное ощущение безопасности, особенно при использовании сложных моделей, не учитывающих редкие, но катастрофические события («чёрные лебеди»).
- Субъективность оценок — вероятности и ущерб часто оцениваются на основе экспертных суждений, что вносит систематические ошибки (эвристики доступности и подтверждения).
- Бюрократизация — в крупных организациях управление рисками может превратиться в формальное заполнение реестров без реального влияния на принятие решений.
- Неучёт взаимозависимости рисков — стандартные матрицы и реестры рассматривают риски изолированно, тогда как на практике они часто коррелируют (например, сбой в IT может привести к операционным и репутационным потерям одновременно).
Интересные факты
- Самый старый сохранившийся документ о морском страховании датируется 1347 годом (контракт на страхование груза судна «Санта-Клара»).
- Стоимость одного дня простоя нефтедобывающей платформы в Северном море может превышать 1 миллион долларов США, что делает управление рисками в этой отрасли критически важным.
- По оценкам Всемирного экономического форума, потери мировой экономики от кибератак в 2023 году превысили 8 триллионов долларов США.
Источники
- ISO 31000:2018 «Risk management — Guidelines».
- COSO ERM: Enterprise Risk Management — Integrating with Strategy and Performance (2017).
- Федеральный закон № 116-ФЗ «О промышленной безопасности опасных производственных объектов» (с изменениями).
- ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».
- ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска».
- Project Management Institute. A Guide to the Project Management Body of Knowledge (PMBOK Guide) – Seventh Edition.
- Н. Талеб. «Чёрный лебедь. Под знаком непредсказуемости» (2007).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →