Понятие процессного риска
Процессный риск – это вероятность неблагоприятного исхода процесса (деятельности), при наличии неблагоприятных факторов, которые могут повлиять на выполнение процесса (но не могут быть отнесены к конкретной операции процесса) и достижения им целевых показателей результативности, эффективности и качества.
Операционный риск – это вероятность неблагоприятного исхода операции (действия, работы) в составе процесса, при наличии неблагоприятных факторов, которые могут повлиять на выполнение конкретной операции процесса и достижения ее запланированных показателей результативности, эффективности и качества.
Управление процессными рисками
Управление рисками должно быть интегрировано в процессы компании и предприняты все необходимые действия в отношении рисков и возможностей.
Все работы связанные с управлением процессными рисками структурируются следующим образом:
- Оценка рисков
- Разработка вариантов действий в отношении рисков и возможностей
- Интеграция выбранных действий в отношении рисков и возможностей в процессы компании
Рассмотрит подробнее деятельность по управлению процессными рисками.
При создании и функционировании процессной системы управления организация определяет, чего она хочет достичь, т. е. цели и намеченные результаты. При планировании процессной системы организация должна дать оценку рискам, т.е. оценить, что может оказать влияние на достижение этих целей и намеченных результатов. Это включает определение связанных рисков и возможностей.
Организация должна рассматривать внутренние и внешние факторы и соответствующие заинтересованные стороны, которые могут повлиять на достижение процессных целей их намеченных результатов. При определении потребностей этих заинтересованных сторон должны быть определены риски и возможности для процессов.
При определении рисков и возможностей организация должна сосредоточиться на увеличении желаемого влияния, создавая новые возможности и предотвращая или уменьшая нежелательное влияние (посредством снижения риска или «предупреждающего» действия). Это означает принятие «риск-ориентированного мышления», и организация должна рассмотреть применение этого подхода ко всем процессам компании.
Оценка риска
Оценка риска — процесс, объединяющий идентификацию, анализ и сравнительную оценку риска. (ГОСТ Р ИСО/МЭК 31010 — 2011).
Оценка риска является частью процесса управления рисками и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.
Оценка риска позволяет ответить на следующие основные вопросы:
- какие события могут произойти и их причина (идентификация опасных событий);
- каковы последствия этих событий;
- какова вероятность их возникновения;
- какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.
Оценка риска состоит из следующих этапов:
- Идентификацию риска;
- Анализ риска;
- Сравнительная оценка риска;
- Документацию риска.
Идентификация риска — это процесс определения элементов риска, составления их перечня и описания каждого из элементов риска.
Анализ риска включает в себя анализ и исследование информации о риске. Анализ риска обеспечивает входные данные процесса общей оценки риска, помогает в принятии решений относительно необходимости обработки риска, а также помогает выбрать соответствующие стратегии и методы обработки риска.
Сравнительная оценка риска использует информацию о риске, полученную при анализе риска. Результаты сравнительной оценки риска используют для принятия решений о будущих действиях.
Документирование риска. Процесс оценки риска должен быть зарегистрирован вместе с результатами оценки. Риск должен быть выражен в понятных и точных терминах и единицах.
Необходимая степень отчетности зависит от целей и области определения оценки. За исключением очень простых случаев документация должна включать:
- цели и область применения;
- описание соответствующих системы, ее частей и функций;
- краткое описание внешних и внутренних целей и сферы деятельности организации во взаимосвязи с оцениваемыми ситуацией, системой или обстоятельствами;
- применяемые критерии риска и соответствующие выводы;
- недостатки, предположения и обоснования принятых гипотез;
- методы оценки;
- результаты идентификации риска;
- данные, предположения, их источники и валидацию их использования;
- результаты анализа риска и количественную оценку риска;
- данные анализа чувствительности и неопределенности;
- критические предположения и другие факторы, для которых необходим мониторинг;
- протоколы обсуждения результатов;
- выводы, заключения и рекомендации;
Организация может выбирать метод оценки рисков, подходящий ее потребностям. ИСО/МЭК 31010 предоставляет большой перечень методологий оценки рисков, некоторые из которых могут быть приемлемыми в зависимости от среды организации.
Действия в отношении рисков и возможностей
После оценки рисков, которые могут оказать влияние на выполнение процессов, организация должна спланировать действия в отношении их. Установленные действия должны быть включены в процессы и всего бизнеса, а результативность этих действий должна оцениваться. Эти действия могут включать в себя, например, разработку соответствующих средств управления для существующих процессов или разработку новых процессов как ответная реакция на возможность.
Существует много действий, которые организация может предпринять в отношении риска. Для процессной системы управления целесообразно применять следующие действия;
- разработку корректирующих и предупреждающих мероприятий и интеграцию их в архитектуру процессов организации;
- постановка оперативного контроля, мониторинг и измерение процессов, продукции и услуг;
- обучение сотрудников и привлечение компетентных лиц.