Контактная информация

Метод Дельфи

Особенностью и главным достоинством этого способа является отличная возможность получить непредвзятые ответы от всех участников, избежать влияния авторитетных точек зрения. Все дело в анонимности раздаваемых анкет.

Технология работы с группой заключается в анонимном заполнении анкет, которые затем собираются, обрабатываются и раздаются соседям для ознакомления. После этого в анкеты вносятся корректировки первоначальных ответов, которые чаще всего появляются после знакомства с мнением коллег. Это действие можно повторять несколько раз – вплоть до достижения консенсуса.

Выбор метода фасилитации зависит от круга вопросов, на которые необходимо ответить. Если мозговой штурм отлично подходит для поиска и определения целого массива всевозможных опасностей (большой объем хорошо структурированной информации), то дельфийский метод оптимален для определения, например, приоритетных групп рисков.

Термины и определения

Риск — вероятное событие, которое может возникнуть в процессе выполнения работ над проектом и которое негативно влияет на один или несколько из ключевых факторов успешного проекта. Данное определение отличается от определения PMBOK, поскольку в нём не учитываются положительные последствия. Наличие рисков с положительными возможностями для проекта свидетельствует о недостаточно детальном анализе ситуации и прогнозов её развития. Вероятное событие, положи-тельно влияющее на проект, называется «шансом».

Управление рисками — дисциплина из состава практик управления проектами, направленная на уменьшение влияния рисков на цели и конечное состояние проекта. Управлением рисками занимается либо сам руководитель проекта (для небольших проектов), либо специально выделенный для этих целей сотрудник (риск-менеджер). Если в компании принята практика централизованного управления рисками, то в её рамках производится обмен информацией и знаниями об управлении рисками, идентифицированных рисках, методах предупреждения и реагирования и т. д. между руководителями проектов, риск-менеджерами и Проектным офисом (в случае наличия такого подразделения; здесь и далее считается, что Проектный офис присутствует в организации, в случае его отсутствия его функции могут выполнять такие подразделения, как Отдел управления проектами, Отдел методологии и т. д.).

Система управления рисками — комплекс средств автоматизации, нормативной и организационной документации, рабочих процедур, штатных позиций и конкретных сотрудников их занимающих, предназначенный для управления рисками в рамках проектной деятельности организации.

Информационная система управления рисками — программно-информационный комплекс, элемент Системы управления рисками. Представляет собой программное обеспечение и информационные базы данных для поддержки процессов и процедур управления рисками в рамках проектной деятельности в компании.

Риск-менеджер — специально выделенный в проектной команде сотрудник, чьей основной обязанностью является управление рисками проекта. Риск-менеджер структурно входит в состав Проектного офиса. Один риск-менеджер может быть задействован на нескольких проектах. На небольших проектах управление рисками осуществляет сам руководитель проекта.

Проектный офис — структурное подразделение, отвечающее за развитие и реализацию методологии проектного управления в компании. Одной из функций Проектного офиса является централизованное управление рисками.

Централизованное управление рисками — набор процедур, позволяющих успешно распространять информацию и знания по дисциплине управления рисками между всеми задействованными в Системе управления рисками сотрудниками. К распространяемым знаниям относятся методические инструкции и другие нормативно-справочные материалы по управлению рисками, реестры идентифицированных рисков, шаблоны и образцы документов по управлению рисками, типовые планы реагирования на риски различных категорий, описание лучших практик по управлению рисками.

Иерархическая структура рисков — иерархически организованное представление идентифицированных рисков проекта, распределённых по категориям и подкатегориям рисков, указывающим на различные области и источники возможных рисков. Иерархическая структура рисков часто бывает адаптирована под конкретные типы проектов.

Требования стандарта и критериев

Вопросам управления рисками и возможностями в стандарте ГОСТ ISO/IEC 17025:2019 посвящен отдельный раздел (п.п. 8.5 действия, связанные с рисками и
возможностями). В соответствии с требованиями данного раздела лаборатория должна учитывать риски и планировать свои действия с учетом выявленных рисков. Данный
принцип — выявление рисков и планирование действий с их учетом, необходимо интегрировать и внедрить в повседневную лабораторную деятельность.

Хотя в стандарте выделен специальный раздел по управлению рисками и возможностями, существует еще ряд требований, которые представлены в других разделах
стандарта:

• п.п. 4.1.4 — требует от лаборатории выявлять риски, связанные с беспристрастностью деятельности как самой лаборатории, так и ее сотрудников;
• п.п. 4.1.5 — обязывает реагировать на риски, связанные с беспристрастностью – устранять или сводить к минимуму их влияние на результаты проводимых
  испытаний или измерений;
• п.п. 7.8.6.1 — если лаборатория применяет собственные правила принятия решений о соответствии или несоответствии образцов (по результатам испытаний или
  калибровки) нормативным документам, то она должна учитывать уровень риска правильности таких решений. Если применяются стандартные правила (правила прописаны
  в нормативном документе) или правила установлены заказчиком, то уровень риска можно не учитывать;
• п.п. 7.10.1 — в случае выявления несоответствующей работы лаборатория должна предпринять действия по устранению несоответствий. Выбор действия необходимо
  основывать на уровне риска (тяжести последствий для дальнейшей работы) от этого несоответствия;
• п.п. 8.7.1(е) — когда несоответствие устранено и лаборатория выполнила корректирующее действие, т.е. устранила причину несоответствия, она должна
  повторно оценить риски от возникновения подобных несоответствий и их причин. Первоначальная оценка проводится при выполнении п.п. 7.10.1

Критерии аккредитации в Российской национальной системе аккредитации «Росаккредитация» (изменения вступили в силу 24.09.2019) также содержат требования по
управлению рисками и возможностями.

Эти требования включены в следующие разделы:

• п.п. 23.2(г) – обязывает лабораторию установить систему управления рисками и возможностями, связанными с лабораторной деятельностью, но он не
  конкретизирует, как должна строиться эта система и никоим образом не задает формализованные методы управления рисками;
• п.п. 23.18(б) – требует определить правила управления рисками и возможностями для предотвращения повторения несоответствий. Данный критерий не
  разделяет два понятия «управление рисками» и «предупреждающие действия». В соответствии с требованиями данного критерия (23.18 п.п. а,б,в) управление рисками
  и возможностями в лаборатории является частью системы предупреждающих действий.

Инструменты и техники

1. Обзор документации
2. Техники сбора информации
   • мозговой штурм
   • метод Дельфи — метод является способом достижения консенсуса в рамках группы экспертов. Участники действуют анонимно. Ведущий, используя анкету, запрашивает у экспертов информацию о важных рисках портфеля. Полученные ответы он систематизирует и снова передает группе для дальнейших комментариев. Консенсус может быть достигнут в несколько раундов этого процесса. Метод Дельфи помогает свести к минимуму возникновение предубеждений относительно данных и обеспечивает объективность в восприятии вклада каждого участника
   • интервьюирование — собеседование с опытными участниками проектов-компонент и другими заинтересованными сторона, при условии, что эти специалисты могут помочь определить риски
   • идентификация причин рисков — определение причин основных рисков помогает сгруппировать сами риски
   • SWOT анализ
3. Анализ контрольного списка — может быть разработан на основе исторических данных и знаний, накопленных от предыдущих проектов и из других источников информации. В качестве контрольного перечня рисков может быть использован низший уровень RBS
4. Анализ, основанный на предположениях — экспертные гипотезы, предположения, сценарии портфельных менеджеров
5. Диаграммы
   • причинно-следственные (диаграмма Исикавы или диаграмма «Рыбий скелет»)
   • влияния — графическое представление хронологических и прочих связей между переменными
   • риск-компонентные — матрица, систематизирующая риски по их отношению к компонентам портфеля и к одной из трех категорий
   • другие

NIST SP 800-30

«Guide for Conducting Risk Assessments»

• актуальных угроз как самой организации, так и опосредованно другим организациям;
• внутренних и внешних уязвимостей;
• потенциального ущерба организации с учетом возможностей эксплуатации уязвимостей угрозами;
• вероятности возникновения этого ущерба.

• подготовку к оценке рисков;
• проведение оценки рисков;
• коммуницирование результатов оценки и передачу информации внутри организации;
• поддержание достигнутых результатов.

• описание процесса оценки риска;
• модель рисков, описывающая оцениваемые факторы риска и взаимосвязи между ними;
• способ оценки рисков (например, качественный или количественный), описывающий значения, которые могут принимать факторы риска, и то, как комбинации этих факторов могут быть обработаны;
• способ анализа (например, угрозо-центричный, ориентированный на активы или уязвимости), описывающий, как идентифицируются и анализируются комбинации факторов риска.

• угрозы;
• уязвимости;
• негативное влияние;
• вероятность;
• предварительные условия.

Угроза

• враждебные кибератаки или физические атаки;
• человеческие ошибки;
• структурные ошибки в активах, подконтрольных организации;
• природные или техногенные аварии или катастрофы.

ранеесмещение угрозыУязвимостьПредварительное условиеВероятность возникновения

1. Оценка вероятности того, что событие угрозы будет кем-либо инициировано (в случае намеренной угрозы) или случится само (в случае ненамеренной).
2. Оценка вероятности того, что возникшая угроза приведет к ущербу или нанесет вред организации, активам, сотрудникам.
3. Общая вероятность рассчитывается как комбинация первых двух полученных оценок.

Уровень негативного влияния

1. Процесс, используемый для определения негативного влияния.
2. Предположения, используемые для определения негативного влияния.
3. Источники и методы получения информации о негативном влиянии.
4. Логическое обоснование, использованное для определения негативного влияния.

степень неточностимодель рискаисточник угрозыдолей вероятностисобытие угрозыэксплуатирует уязвимостьнегативное влияниерискагрегирования рисковспособы оценки рисковКоличественныйКачественныйПолуколичественныйспособа анализаУгрозо-центричныйориентированный на активыориентированного на уязвимости

• подготовка к оценке рисков;
• проведение оценки рисков;
• коммуницирование результатов оценки и передача информации внутри организации;
• поддержание достигнутых результатов.

1. Подготовка к оценке рисков. 2. Проведение оценки рисков. 3. Коммуницирование результатов оценки рисков и передача информации. 4. Поддержание достигнутых результатов.

Основы новой системы оценки и управления рисками

Базовым правилам управления рисками причинения вреда (ущерба) охраняемым законом ценностям при осуществлении государственного контроля (надзора), муниципального контроля посвящена отдельная глава 5 Закона о госконтроле. Она содержит не только основы системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям, но и категории риска причинения вреда (ущерба) и индикаторы риска нарушения обязательных требований, включая порядок отнесения объектов госконтроля (надзора), муниципального контроля к таким категориям и выявления индикаторов риска нарушения обязательных требований, а также правила учета рисков причинения вреда (ущерба) охраняемым законом ценностям при проведении контрольных (надзорных) мероприятий.

Так, ст. 22 Закона о госконтроле предусматривает необходимость осуществления госконтроля (надзора), муниципального контроля на основе управления рисками причинения вреда (ущерба), определяющего выбор профилактических мероприятий и контрольных (надзорных) мероприятий, их содержание (в том числе объем проверяемых обязательных требований), интенсивность и результаты. Стоит отметить, что если из буквального толкования действующей редакции  следует, что применение риск-ориентированного подхода предусмотрено как возможность, а не обязанность (употребляется конструкция «может применяться»), то в новом Законе соответствующая норма предполагает обязательное использование риск-ориентированного подхода при организации и осуществлении госконтроля (применяется формулировка «контроль (надзор) осуществляются»). Новый формат модели риск-ориентированного подхода будет пронизывать всю систему госконтроля (надзора), муниципального контроля, а не только влиять на частоту проведения плановых проверок.

Отметим, ранее систему управления рисками причинения вреда (ущерба) планировалось распространить только на государственный контроль (надзор) в РФ – упоминания в контексте применения такой системы о муниципальном контроле в первоначальной редакции Проекта Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (далее – Законопроект о госконтроле), который впоследствии стал Законом о госконтроле, не было. Но в процессе доработки текста документа было решено указать о применении системы оценки рисков и в отношении муниципального контроля, но с оговоркой, что в положении о виде муниципального контроля может быть установлено, что система оценки и управления рисками при осуществлении соответствующего вида муниципального контроля не применяется. Однако такое решение не должно противоречить федеральному закону о виде контроля, а также общим требованиям к организации и осуществлению данного вида муниципального контроля. «В этом случае плановые контрольные (надзорные) мероприятия и внеплановые контрольные (надзорные) мероприятия проводятся с учетом особенностей, установленных ст. 61 и 66 Закона о госконтроле», – указывается в .

Кроме того, ст. 22 содержит определения понятий:

• риск причинения вреда (ущерба) – вероятность наступления событий, следствием которых может стать причинение вреда (ущерба) различного масштаба и тяжести охраняемым законом ценностям;
• оценка риска причинения вреда (ущерба) – деятельность контрольного (надзорного) органа по определению вероятности возникновения риска и масштаба вреда (ущерба) для охраняемых законом ценностей;
• управление риском причинения вреда (ущерба) – осуществление на основе оценки рисков причинения вреда (ущерба) профилактических мероприятий и контрольных (надзорных) мероприятий в целях обеспечения допустимого уровня риска причинения вреда (ущерба) в соответствующей сфере деятельности.

Контрольным (надзорным) органам предписано обеспечивать организацию постоянного мониторинга (сбора, обработки, анализа и учета) сведений, используемых для оценки и управления рисками причинения вреда (ущерба). А Правительству РФ – определить общие требования к порядку организации оценки риска причинения вреда (ущерба) при осуществлении госконтроля (надзора), муниципального контроля, включая требования к установлению критериев и категорий риска, порядку отнесения объектов контроля к категориям риска, установлению индикаторов риска нарушения обязательных требований, порядку их выявления, источникам сведений, используемых при оценке риска, и порядку их сбора, обработки, анализа и учета, порядку информирования контролируемых лиц об отнесении объектов контроля к категориям риска, периодичности проведения плановых контрольных (надзорных) мероприятий в зависимости от категории риска ().

Заключение

Управление рисками сильно отличается от управления стратегией. Управление рисками фокусируется на негативе — угрозах и неудачах, а не на возможностях и успехах. Это идёт вразрез с культурой “можно сделать”, которую старается поддерживать большинство команд-лидеров при реализации стратегии. И многие лидеры склонны сбрасывать со счетов будущее; они неохотно тратят время и деньги сейчас, чтобы избежать неопределённой проблемы в будущем. Кроме того, снижение риска обычно включает в себя распределение ресурсов и диверсификацию инвестиций, что является противоположностью интенсивной направленности успешной стратегии.

По этим причинам большинству компаний нужен отдельный департамент для управления стратегическими и внешними рисками. Размер департамента риск-менеджмента будет варьироваться от компании к компании, но группа должна отчитываться непосредственно перед топ-командой.

Действительно, поддержание тесных отношений со старшим руководством, возможно, будет самой важной задачей; способность компании противостоять угрозам во многом зависит от того, насколько серьёзно руководители воспринимают свою функцию управления рисками, когда светит солнце, а на горизонте нет облаков. Это то, что отделяло банки, потерпевшие крах в финансовом кризисе, от тех, которые выжили

Обанкротившиеся компании перевели управление рисками в режим соответствия; их риск-менеджеры имели ограниченный доступ к высшему руководству и своим советам директоров. Кроме того, руководители обычно игнорировали предупреждения риск-менеджеров о высокоэффективных методах управления рисками. В отличие от этого, “Goldman Sachs” и “JPMorgan Chase”, две компании, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли многочисленными рисками подверженности компаний. Барри Зуброу, директор по управлению рисками в “JPMorgan Chase”, сказал:

Это то, что отделяло банки, потерпевшие крах в финансовом кризисе, от тех, которые выжили. Обанкротившиеся компании перевели управление рисками в режим соответствия; их риск-менеджеры имели ограниченный доступ к высшему руководству и своим советам директоров. Кроме того, руководители обычно игнорировали предупреждения риск-менеджеров о высокоэффективных методах управления рисками. В отличие от этого, “Goldman Sachs” и “JPMorgan Chase”, две компании, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли многочисленными рисками подверженности компаний. Барри Зуброу, директор по управлению рисками в “JPMorgan Chase”, сказал:

“Возможно, у меня есть звание, но Джейми Даймон — главный специалист по управлению рисками компании”. Формализация и стандартизация моделей управления может смягчить некоторые критические риски, но не все из них. Активное и экономически эффективное управление рисками требует, чтобы менеджеры систематически думали о множественных категориях рисков, с которыми они сталкиваются, для того чтобы они могли своевременно применить соответствующие методы управления рисками для каждой из категорий. Методы управления рисками позволяют нейтрализовать шаблонный взгляд: “Видеть мир, не таким, каким нам бы хотелось, чтобы он был, а таким, каков он есть”.

В свою очередь, мы надеемся, что наш обзор поможет вам идентифицировать, оценить, предупредить и устранить все категории рисков, с помощью верно сформулированной стратегии управления, что приведёт к процветанию и стабильности вашей компании.