CC BY
1139
Метод оценки рисков «Критерии. События. Правила»
Коротченко Е.А., Петрунина Ю.Л.
Аннотация— В статье представлена сравнительная характеристика методов оценки риска на предмет соответствия таким требованиям, как возможность получения количественных выходных данных, применимость для различных категорий риска, учет не только отрицательного, но и положительного влияния событий на цели компании, незначительное влияние субъективного фактора при оценке риска.
Описывается новый метод оценки рисков - метод «Критерии. События. Правила» («КСП»), который разработан, апробирован и внедрен в одной из компаний транспортной отрасли.
Результаты могут быть могут быть полезны сотрудникам предприятий различных отраслей, перед которыми стоит задача по выбору метода оценки рисков.
Ключевые слова— система управления рисками, оценка риска, методы оценки риска, метод «Критерии. События. Правила», метод «КСП».
I. Введение
Все современные компании вынуждены работать в условиях высокой неопределенности. Поэтому оценка возможных рисков и управление ими становится ключевой задачей, от которой зависит будущее фирмы [4].
Одним из основных этапов процесса управления рисками является этап оценки риска, основной задачей которого является предоставление информации, необходимой для обоснованного принятия решения
относительно мероприятий по достижению цели [2]. Оценка риска позволяет ответить на следующие основные вопросы:
• какие события могут произойти;
• каковы последствия этих событий;
• какова вероятность их возникновения;
• является ли уровень риска приемлемым, требуется ли его дальнейшая обработка [2].
В рамках внедрения системы управления рисками на одном из предприятий транспортной отрасли была поставлена задача по выбору метода оценки риска. С целью решения данной задачи был исследован перечень методов, представленных в стандарте ГОСТ Р
ИСО/МЭК 31010—2011 «Менеджмент риска. Методы оценки риска», на предмет соответствия следующим требованиям (Таблица 1).
1. Возможность получения количественных выходных данных.
2. Применимость для различных категорий риска (коммерческих, правовых, информационных и др.).
3. Учет не только отрицательного, но и положительного влияния событий на цели компании.
4. Незначительное влияние субъективного фактора при оценке риска.
Данные требования были обозначены руководством компании в качестве ключевых для выполнения наиболее полного и комплексного анализа рисков.
Таблица 1. Результаты сравнительного анализа методов оценки рисков
Наименование метода оценки рисков Применимость Учет положительного Влияние
для различных влияния неопределенности субъективного
категории риска на цели фактора при оценке
Оценка токсикологического риска Нет Нет Сильное
Анализ видов и последствий отказов Нет Нет Незначительное
(FMEA)
Анализ дерева неисправностей (FTA) Нет Нет Незначительное
Анализ дерева событий (ETA) Нет Нет Сильное
Статья получена 25 марта 2016.
Коротченко Е.А., аспирант информационно-технического факультета Новосибирского Государственного Университета Экономики и Управления (e-mail: [email protected])
Петрунина Ю.Л., магистрант факультета бизнеса Новосибирского Государственного Технического Университета (e-mail: [email protected]).
Анализ причин и последствий Да Нет Умеренное
Анализ уровней защиты (LOPA) Нет Нет Сильное
Анализ дерева решений Нет Да Незначительное
Анализ влияния человеческого фактора (HRA) Нет Нет Сильное
Анализ «галстук-бабочка» Да Да Сильное
Техническое обслуживание, направленное на обеспечение надежности Нет Нет Умеренное
Марковский анализ Нет Нет Незначительное
Моделирование методом Монте-Карло Нет Нет Умеренное
Байесовский анализ и сети Байеса Да Да Сильное
Индексы риска Да Да Сильное
Анализ эффективности затрат (CBA) Нет Да Умеренное
Мультикритериальный анализ решений (MCDA) Да Да Сильное
Примечание: По данным стандарта ГОСТ Р ИСО/МЭК 31010—2011 «Менеджмент риска. Методы оценки риска» из 31 метода только 17 позволяют получить количественные выходные данные. Из рассмотрения был исключен метод «Кривые Б№>, так как он является не методом оценки риска, а методом предоставления результатов оценки риска [2].
Сравнительный анализ показал, что ни один из существующих методов не удовлетворяет всем заявленным требованиям, поэтому группой экспертов, в состав которой входили авторы, был разработан новый метод оценивания рисков, который впоследствии получил название «Критерии. События. Правила» («КСП»).
II. Общая схема оценки риска по методу «Критерии.
События. Правила»
Согласно стандарту ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство» процесс оценки рисков состоит из трех этапов:
• идентификация;
• анализ;
• оценивание [1].
Графическое представление основных этапов оценки рисков по методу «КСП» представлено на рисунке 1.
Этап идентификации предполагает сбор и классификацию событий из таких источников, как сотрудники, информационные системы и базы данных.
На этапе анализа производится количественная оценка уровня риска на основе информации о введенных
ис*
*ИС - информационные системы **БД - базы данных
Рис. 1. Этапы оценки рисков и возможностей по методу «КСП»
Д-
CS
s s
IX
о
ц
(С
событиях, а также данных по критериям1 (план и факт).
Заключительным этапом является оценивание, на котором осуществляется ранжирование рисков и формирование аналитических отчетов. Решения и действия сотрудников, принятые на основе полученных отчетов, порождают новые события, которые также фиксируются. Как следствие, система управления рисками, основанная на применении метода «КСП» -замкнутая система.
Более подробное описание каждого из этих этапов оценки риска по методу «КСП» представлено в соответствующих разделах.
III. Идентификация
Целью данного этапа является сбор, классификация и оценка влияния событий на критерии.
Данный этап имеет важное значение, поскольку управление рисками должно проводиться в условиях максимальной осведомленности о состоянии внешней и внутренней среды и ее влиянии на цели компании.
Метод «КСП» предполагает создание системы для
1 Критерий — показатель деятельности компании в целом или конкретного подразделения, на основе отслеживания значений которого принимаются решения для достижения цели. Наличие критерия предполагает наличие плана (цели), отклонение от которой указывает на наличие риска. Примеры критериев: выручка, уровень обслуживания.
работы с событиями, которая должна включать:
• сеть источников и каналов поступления информации,
• базу событий,
• правила классификации и оценки событий.
Сеть источников и каналов подразумевает как автоматическую загрузку событий, так и ручной ввод. Автоматическая загрузка событий производится из баз данных поставщиков, с которыми заключены соглашения о предоставлении информации и из информационных систем компании. Например, осуществляется автоматическая загрузка жалоб и благодарностей, которые пассажиры компании регистрируют на сайте.
Что касается ручного ввода событий, функция внесения событий распределена между сотрудниками всех подразделений, а не сосредоточена в зоне ответственности экспертов по рискам. Такой подход позволяет, с одной стороны, обеспечить полноту данных в базе событий, с другой, минимизировать трудозатраты экспертов по рискам. Важно отметить, что фиксируются не только нарушения, но и любые другие события, которые влияют на критерии (положительно или отрицательно).
Классификация событий производится при внесении базу либо сотрудником, либо системой (в случае
автоматической загрузки) через указание таких параметров события, как:
• характер активности (ХА) - обобщенная группа, в которую входит событие;
• плановость (П) - статус события (плановое или внеплановое);
• тип активности (ТА) - характеристика, которая позволяет определить, где произошло событие. Например, в процессе операционной деятельности рассматриваемой компании или компании конкурента;
• уточнение (У) - направленность события.
Сочетание полей классификации позволяет
определить суть события (в принятой терминологии вид события (ВС)) и оценить его влияние на критерии.
Классификация событий системой при автоматической загрузке событий меняется исходя из определенных признаков. Так, например, при автоматической загрузке жалоб и благодарностей с сайта компании уточнение варьируется в зависимости от типа обращения, указанного клиентом, а остальные параметры (ХА, П, ТА, ВС) заданы на уровне программного кода. Пример классификации представлен в таблице 2.
Оценка влияния события на критерии производится с помощью правил, которые определяют степень тяжести, направленность влияния (положительное или отрицательное), период влияния на каждый критерий. Примеры правил оценки влияния событий на один из критериев представлены в таблице 2.
Таблица правил прорабатывается один раз и представляет собой обобщенное мнение группы экспертов, в которую входят не только эксперты по рискам, но и сотрудники, ответственные за результат по критерию.
Оценка влияния события производится автоматически (без участия эксперта) при внесении события в базу. Однако, в случае необходимости эксперт по рискам может ее скорректировать. Использование правил позволяет минимизировать не только трудозатраты на оценку событий, но и влияние субъективного фактора.
IV. Анализ
Целью данного этапа является получение количественной оценки уровня рисков. Расчет производится двумя способами, дополняющими друг друга:
• через отслеживание событий (уровень риска по событиям или ранг);
• через отслеживание отклонений факта от плана по критериям (уровень риска по критериям).
A. Методика расчета риска по критериям
Уровень риска по критерию - это показатель, позволяющий выявить нестабильность, возникающую в процессе достижения цели, на основе данных по отклонениям факта от плана.
Формула расчета Риска (R) по показателю в общем виде:
R = S*P, (1)
где S - средняя степень тяжести по негативным отклонениям факта от плана (невыполнение плана) за период, P - оценка возможности возникновения негативных отклонений.
Средняя степень тяжести (S) варьируется в диапазоне от 0 до 5 и рассчитывается по формуле:
S=SJC/T1, ' (2)
где si - степень тяжести негативного отклонения факта от плана за день i (3), n - количество негативных отклонений факта от плана за период.
Si = Min [5; a * LN( 1 + b*x) ) ], (3)
где а и b - коэффициенты логарифмической функции, x - абсолютное или относительное отклонение факта от плана. Как коэффициенты, так и тип отклонения варьируются в зависимости от критерия.
Оценка возможности (P) варьируется в диапазоне от 0 до 5 и рассчитывается по формуле:
P = Min [5; a * LN( 1 + b* n/N) ) ], (4)
где а и b - коэффициенты логарифмической функции (варьируются в зависимости от критерия), n -
Сочетание полей классификации Положительная направленность влияния Степень тяжести влияния2 Период 3 влияния
ХА П ТА ВС У
События, влияющие на общественное мнение Внеплановое Внутренние активности Жалобы/благодарности Негатив для компании Нет 0,6 20 дней
События, влияющие на общественное мнение Внеплановое Внутренние активности Жалобы/благодарности Позитив для компании Да 0,6 20 дней
Изменение тарифов Внеплановое Активности конкурентов Изменение тарифа на грузовые перевозки Снижение Нет 4,2 60 дней
Изменение тарифов Плановое Внутренние активности Изменение тарифа на грузовые перевозки Снижение Да 3 10 дней
2 Степень тяжести влияния измеряется по шкале от 1 до 5.
3 Период влияния исчисляется от даты события и может начинаться до даты начала события и заканчиваться после. Пример события: олимпиада в Сочи, данное событие длилось с 7 по 23 февраля 2014 года, но период влияния события на критерий выручка был гораздо более продолжительным, т.к. люди приобретали билеты задолго до наступления данного события.
количество негативных отклонений факта от плана за период, N - общее количество дней, когда были данные по плану и факту за период.
Метод «КСП» позволяет рассчитать не только уровень риска по критериям, но и уровень возможности по критериям на основе положительных отклонений факта от плана (перевыполнение плана), но в процессе апробации метода не было выявлено практической необходимости для расчета данного показателя.
Уровни рисков по критериям позволяют увидеть, как узкие места в деятельности организации, так и критерии, по которым отсутствуют риски или они минимальны (что свидетельствует о выполнении или перевыполнении плана).
Кроме того, существующая методика позволяет получить количественную оценку уровня риска по различным категориям. Например, коммерческий риск можно рассчитать, агрегируя данные по критериям, отражающим коммерческий результат.
B. Методика расчета риска по событиям
Риск по событиям или Ранг - это показатель, который позволяет в количественном выражении оценить влияние внешней и внутренней среды на достижение цели на основе идентифицированных событий.
Ранг (F) рассчитывается в двух срезах:
• по событиям, негативно влияющим на критерий -Ранг Фактора Опасности (Ранг ФО);
• по событиям, позитивно влияющим на критерий -Ранг Фактора Возможности (Ранг ФВ).
Расчет возможен как по всем событиям в целом, так и в различных детализациях (по видам событий, по характеру активности и т.д.).
Рассмотрим расчет на примере Ранга ФО, формула
(1).
F = S*P, (1)
где S - средневзвешенная степень тяжести по событиям (варьируется от 0 до 5), Р - оценка возможности наступления негативных последствий (варьируется от 0 до 5).
Формула расчета средневзвешенной степени тяжести по периоду влияния имеет следующий вид:
где si - степень тяжести влияния i-го события (проставляется в соответствии с таблицей правил и варьируется от 1 до 5), xi - количество дней влияния i-го события, которые попали в период, за который производится расчет.
Оценка возможности наступления негативных последствий определяется по формуле:
P = Min [5; a * LN( 1 + b* (n/N) ) ], (3)
где а и b - коэффициенты логарифмической функции (варьируются в зависимости от критерия), n -количество событий группы, негативно влияющих на критерий, N - общее количество событий, вне зависимости от влияния.
Расчет Ранга ФВ производится по аналогии с рангом ФО, но за основу берутся события, положительно влияющие на рассматриваемый критерий.
Ранг и уровень риска по критериям напрямую взаимосвязаны, ведь если в рассматриваемом периоде значительно вырос Ранг ФО, потому что было зафиксировано большое количество негативных событий, влияющих на определенный критерий
деятельности подразделения, то соответственно увеличится и уровень риска по этому критерию (произойдет невыполнение плановых показателей). Стремление к равенству этих двух показателей было заложено в основу метода «КСП».
Комбинация описанных способов расчета позволяет не просто оценить уровень риска по критерию, но и выявить его причины, а также получить прогноз на следующий период с учетом влияния событий (как положительного, так и отрицательного) [3].
V. Оценивание
Цель данного этапа заключается в том, чтобы способствовать принятию решений, основанных на исходных результатах анализа, относительно необходимости воздействия на риск и установления приоритета воздействия [1].
Этап оценивания включает ранжирование уровней риска по критериям, а также выявление групп событий, оказавших наибольшее влияние на критерий.
Ранжирование уровня риска по критериям производится по шкале, разделенной на три интервала, которые позволяют определить степень приемлемости и необходимость воздействия на риск (таблица 3).
Таблица 3. Уровни риска и необходимость воздействия
Выявление групп событий, оказавших наибольшее влияние на критерий, осуществляется посредством приоритезации Рангов ФО и Рангов ФВ (таблица 4) и используется для объяснения риска и проработки мероприятий на будущий период.
Таблица 4. Приоритезация Рангов ФО и ФВ
Значение Ранг ФО / Ранг ФО по группе событий
от 1 до 5 включительно Влияние событий данной группы незначительное
от 5 до 9 включительно Влияние событий данной группы умеренное
от 9 до 25 включительно Высокий уровень влияния событий данной
Значение Уровень риска Необходимость воздействия
от 1 до 5 включительно Незначительный Отсутствует
от 5 до 9 включительно Приемлемый На усмотрение ответственного сотрудника за результат по критерию
от 9 до 25 включительно Недопустимый Обязательна
__группы_
На основании перечная событий, ранжированных Рангов ФО, Рангов ФВ, а также уровней риска по критериям, формируются аналитические отчеты, использующиеся при принятии решений на оперативном и тактическом уровнях управления.
Режим доступа: http://dis.ru/library/551/23426/ (дата обращения 01.12.2015).
V. Заключение
Метод «Критерии. События. Правила» уникален и на текущий момент не имеет аналогов, что подтверждено результатами сравнительного анализа методов оценки рисков.
Несмотря на то, что данный метод имеет некоторые недостатки (сложность разработки системы для работы с событиями), его существенными преимуществами являются:
• сокращение трудозатрат экспертов по рискам за счет распределения функции внесения событий между всеми сотрудниками компании и использования таблицы правил для оценки событий;
• применимость для оценивания различных категорий рисков за счет агрегирования уровней рисков по критериям;
• незначительное влияние субъективного фактора при оценке за счет автоматического определения влияния событий на цели в соответствии с системой правил классификации, автоматического расчета рисков по событиям и рисков по критериям;
• количественная оценка уровня риска и возможностей (в том числе. на будущий период) за счет учета всех событий, вне зависимости от направленности их влияния (положительного и/или отрицательного);
• наличие информации для объяснения причин риска за счет обеспечения полноты данных о событиях, происходящих как внутри компании, так и за ее пределами.
Данный метод оценки рисков может быть полезен сотрудникам предприятий различных отраслей, перед которыми стоит задача по разработке системы управления рисками.
Благодарности
Авторы выражают благодарность за помощь и информационную поддержку в подготовке статьи экспертам в области управления рисками Козину С.В., Свистуну Р.М.
Библиография
[1] ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство.
[2] ГОСТ Р ИСО/МЭК 31010—2011. Менеджмент риска. Методы оценки риска.
[3] Коротченко Е.А. Анализ результатов прогнозирования в системе управления рисками. Мы продолжаем традиции российской статистики: Материалы I Открытого российского статистического конгресса (Новосибирск, 20-22 октября 2015 года). - Новосибирск: НГУЭУ, 2015. - с.244
[4] Никифоров А.В., Завражных Н.А. Как управлять стратегическими рисками? Управление рисками в рамках сбалансированной системы показателей // Финансовый менеджмент: журн. — 2007. — №3 [Электронный ресурс] —
The Method of Risk Assessment "Criteria. Events. Rules"
Korotchenko E.A., Petrunina Y.L.
Abstract— The article presents the results of comparative analysis of risk assessment methods based on such criteria as the presence of quantitative output data, applicability of various risk categories, taking into account both negative and positive impact of events on the company's goals, minimal influence of the subjective factor in a risk assessment process. Much attention is given to description of a new method of risk assessment - the method "Criteria. Events. Rules" ("CER"), which was developed, approved and implemented in one of transport companies.
The results can be useful to employees of enterprises operating in various industries faced by the task of choosing the risk assessment method.
Keywords— risk management, risk assessment, risk assessment methods, the method of risk assessment "Criteria. Events. Rules", method "CER".
