Принятие риска

image_pdfimage_print

На решение о принятии (сохранении) риска оказывают влияние различные обстоятельства. Например, стартующий высокотехнологичный бизнес может принимать более высокие риски, нежели солидная организация традиционного профиля.

Основными факторами, влияющими на решение о принятии рисков,являются:

  • возможные последствия осуществления риска, т.е. расходы организации в каждом случае, когда это происходит;
  • ожидаемая частота подобных событий.

Количественные оценки этих факторов, как мы видели, являются очень неточными и субъективными, поэтому лица, принимающие решение, должны осторожно взвешивать точность и достоверность информации, на основании которой они принимают решение, и величину потерь, которую они готовы принять.

К числу субъективных факторов, оказывающих влияние на принятие решений по рискам, относятся в том числе:

  • готовность к принятию рисков (также известная как терпимость или склонность к риску);
  • простота реализации механизма контроля;
  • доступные финансовые, кадровые и информационные ресурсы;
  • существующие деловые/технологические приоритеты;

политика организации и руководства, например, в отношении следования тем или иным требованиям.

Критерии принятия рисков

Каждая организация должна установить критерии принятия рисков, определяющие максимально допустимый уровень остаточного риска, а также возможные исключения для определенных рисков при определенных обстоятельствах.

Риски, превышающие установленный руководством организации допустимый уровень, – это те риски, которые являются неприемлемыми для бизнеса, а связанная с ними деятельность – слишком рискованной. Все остальные риски, ниже этого уровня, являются допустимыми и могут быть приняты без дальнейшей обработки.

На практике многие риски занимают промежуточное положение между однозначно приемлемыми и очевидно неприемлемыми. Такие риски также нуждаются в обработке, хотя и не в первую очередь, и могут быть снижены при обеспечении хорошего возврата инвестиций. Поэтому в дополнение к максимально допустимому уровню остаточного риска мы также используем уровень однозначно приемлемого риска.

________________________________________

Уровни принятия риска:

·        Низкий риск (уровень риска: от 0 до 2) – однозначно приемлемые риски, составляющие обычныйрисковый фон организации.

·        Средний риск (уровень риска: от 3 до 5) – потенциально приемлемые риски, уменьшение которых, однако, может дать положительный экономический эффект. Эти риски обычно нуждаются в обработке, но не в первую очередь.

·        Высокий риск (уровень риска: от 6 до 8) – неприемлемые риски, нуждающиеся в скорейшей обработке. Сохранение данных рисков руководство организации считает крайне рискованным для своего бизнеса.

___________________________________________

В ситуации, когда за разные риски отвечают разные подразделения организации, используемые критерии принятия рисков требуют согласования между этими подразделениями, а также с руководством организации. В противном случае возникает ситуация, при которой организация применяет разные критерии принятия рисков для разных областей контроля, что приводит к недооценке одних видов рисков и переоценке других.

На рисунке показано, как выглядят несогласованные критерии принятия рисков (1 – информационная безопасность, 2 – охрана труда, 3 – финансовый риск, 4 – операционный риск). В данном случае организация переоценивает риски информационной безопасности и недооценивает прочие операционные риски. Такая ситуация порождает определенные трудности с принятием решения по рискам.

Если организация применяет согласованные критерии принятия риска для всех областей деятельности в рамках единой системы управления рисками (ERM-системы), руководству значительно проще принимать решения по рискам. Это позволит избежать опасных последствий недооценки определенных видов рисков и необоснованных затрат на уменьшение рисков, которые, напротив, были переоценены.

Автор

Александр Астахов

Эксперт по информационной безопасности, автор книг и статей, предприниматель, основатель группы GlobalTrust, компании Protectiva, портала ISO27000.RU.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *