Карта рисков: что, зачем и как

Многим компаниям, ведущим бизнес с использованием информационных технологий, необходимо подтверждать, что сами эти технологии и данные надежно защищены. От этого зависят репутация бизнеса, доверие клиентов и стабильное положение на рынке. Современные стандарты информационной безопасности, такие как COSO, ISO 31000: 2009, ISO/IEC 27005: 2011, большое значение придают риск-менеджменту, поскольку он, помимо прочего, является важным аспектом контроля со стороны национальных регуляторов. Популярный инструмент определения и ранжирования рисков – карта рисков.

Оценка рисков – важный шаг для каждой компании, направленный на минимизацию потерь. Важно определить, какие риски внутри компании и во внешней среде для вас существенны, а какими можно пренебречь.

Карта рисков – инструмент, который позволяет классифицировать риски по степени критичности для бизнеса. Кроме того, она поможет понять, какие риски бизнес может принять, не обрабатывая.

Наличие актуальной карты рисков свидетельствует о том, что риски идентифицируются, анализируются и обрабатываются. Ее можно демонстрировать проверяющим регуляторам, рейтинговым агентствам, банкам, акционерам в качестве подтверждения действующей системы риск-менеджмента в вашей компании. 

Исходные данные для составления карты рисков – реестр, включающий все риски, присущие вашему бизнесу, и форма карты (рис. 1) для ее наполнения выявленными рисками. В процедуре наполнения карты должны участвовать владельцы технических и бизнес-процессов, чьи риски будут оцениваться.

 

Оценку каждого риска в карте будем проводить по двум параметрам/шкалам – вероятность реализации и потенциальный ущерб. В качестве градаций обычно выбирают «низкий», «высокий» и «средний» уровень. Для более точного позиционирования рисков в карте можно разделить верхнюю и нижнюю границы, добавив значения «крайне низкий» и «крайне высокий» (критический). Уровню «крайне низкий» присваиваем значение 1, «низкий» – 2, «средний» – 3, «высокий» – 4 и «крайне высокий» – 5.

Оценка ущерба. Ущерб, в результате которого работа вашего бизнеса окажется под угрозой, принимаем как «высокий»/«крайне высокий», низкий ущерб не подразумевает каких-либо последствий для бизнеса.

Оценка вероятности. Высокая вероятность риска может означать, что подобные риски в прошлом уже неоднократно реализовывались или, судя по некоторым признакам, риск вот-вот реализуется. Вероятность можно считать низкой, когда риск не реализовывался уже несколько лет и предпосылок к этому не предвидится.

Относительное значение уровня риска – это произведение двух величин: вероятности реализации риска и ущерба от этого. Таким образом минимальное относительное значение уровня риска будет равняться 1 – вероятность крайне низка (1) и ущерб также крайне низок (1). Максимальное относительное значение риска – 25 – когда и уровень ущерба, и вероятность его реализации крайне высоки (рис. 2). Все риски компании будут ранжироваться в этом диапазоне, от 1 до 25.

Сгруппируем риски для дальнейшей работы:

Карта рисков, безусловно, полезна, однако при принятии ключевых решений в сфере инвестирования, формирования стратегии, утверждения бюджетов, разработки планов развития и т.п. не следует опираться только на нее. Дело в том, что карта рисков по своей природе – инструмент неточный и оценочный. Она описывает одной точкой неопределенность, которая имеет огромное количество сценариев, не учитывая при этом вариации и распределения.

Многие эксперты в области риск-менеджмента указывают, что использование этого инструмента для принятия решений само является рискованным. Например, авторы исследования «Риск использования карты рисков» указывают, что карты рисков классифицируют значения ущерба и вероятностей, однако не существует устоявшихся правил, как выполнять классификацию. Ранжирование, производимое риск-менеджером, зависит от произвольного выбора, и этот произвольный выбор часто дает произвольный результат. 

Большинство компаний в мире (за исключением постсоветского пространства) перестали всерьез заниматься картами рисков, заменив их другими инструментами принятия решений. В качестве альтернатив можно выбрать имитационное моделирование, сценарный анализ, анализ чувствительности, деревья решений.

Карта рисков хорошо подходит для презентации процедур риск-менеджмента в компании. Она способна отразить «в крупную клетку» общее состояние управления рисками. Это действительно удобный и понятный графический способ подачи информации руководству компании, акционерам, регуляторам. Если преобладают желтая и зеленая зоны – ситуация под контролем, если красная и оранжевая – значит управление рисками нужно срочно совершенствовать. Однако не полагайтесь на карту рисков для принятий стратегически важных решений, потому что она для этого не предназначена. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>