Фнц медико профилактических технологий управления рисками: Контактная информация | Федеральный центр управления рисками

Чтобы управлять этими рисками, многие банки просто используют свой значительный ИТ-опыт для исправления дыр, обслуживания систем и соблюдения нормативных требований.Некоторые создали специализированные команды для решения особо острых проблем, таких как кибербезопасность. Но вряд ли эти полумеры обеспечат достаточную защиту. Более того, ИТ-ориентированный подход может оказаться неспособным учесть более широкие последствия для бизнеса и операционную взаимозависимость. Учреждения, нацеленные на соблюдение нормативных требований, могут игнорировать уязвимости, не входящие в компетенцию регулирующего органа, и упускать из виду критически важные для бизнеса приложения, что в будущем может повлечь за собой риски для бизнеса.

Пробираться сквозь грязь больше нельзя. Адекватное снижение технологического риска требует скоординированных усилий, выходящих за рамки средств защиты, ориентированных на ИТ. Ведущие банки создают специализированные группы в рамках группы управления корпоративными рисками для управления технологическим риском во всех его проявлениях в масштабах всей организации. В этой статье мы опишем шесть принципов, которые эти группы используют, чтобы оставаться на связи и интегрироваться с остальной частью банка, развивать навыки, необходимые для выполнения этих сложных задач, а также управлять преобразованиями и мероприятиями по исправлению положения.В заключение мы дадим несколько советов, которые помогут этим командам хорошо начать работу.

Шесть принципов

Эти принципы — не пошаговое руководство, а скорее руководство по созданию передовой практики управления технологическими рисками. Соблюдая их, руководители банков смогут контролировать растущий уровень риска, связанный с цифровой эпохой.

Примите подход, ориентированный на бизнес

Компании могут составить полную картину своих информационных потребностей, использования и рисков только через диалог между ИТ и бизнесом для определения наиболее важных бизнес-процессов и информационных активов.Затем самые строгие меры контроля могут быть применены к наиболее ценным ИТ-системам и данным, «жемчужинам короны» банка. Запатентованные торговые алгоритмы, хранящиеся на портативных компьютерах, данные о кредитных транзакциях, передаваемые третьим лицам, и информация о здоровье сотрудников — все это может иметь место. Группа ИТ-рисков должна управлять программой оценки, но компании должны участвовать в ней и брать на себя ответственность за итоговую приоритизацию, поскольку они являются истинными владельцами рисков. Только так банки смогут наиболее эффективно инвестировать в безопасность.Например, при расстановке приоритетов под руководством ИТ обычно слишком много внимания уделяется защите приложений «большого железа», в то же время недооценивая риски, связанные с неструктурированными данными, передаваемыми по электронной почте и хранящимися на платформах для совместной работы. Что касается жемчужин короны, инвестиции в исправление могут включать многофакторную аутентификацию, инструменты предотвращения потери данных, а также улучшенный мониторинг и аналитику.

Думать «бизнес прежде всего» особенно важно в сфере информационной безопасности. Утечки данных, мошеннические транзакции, шантаж и «хактивизм» — все это создает опасность.Банки должны рассматривать свои средства защиты в свете потенциального негативного воздействия угрозы на бизнес, а не нарушать общие стандарты безопасности, которые усиливаются после каждого негативного заголовка. Тем не менее, безопасность и качество обслуживания клиентов не должны рассматриваться как компромисс. Ведущие банки находят способы предоставить своим клиентам улучшенные цифровые решения, которые одновременно являются более безопасными и простыми в использовании.

Координация между подразделами управления ИТ-рисками

Большинство банков создали группы для управления некоторыми или всеми различными сферами, в которых могут возникнуть технологические риски.Как правило, они включают кибербезопасность и аварийное восстановление, а также, во все большей степени, управление поставщиками и сторонними организациями; управление проектами и изменениями; архитектура, разработка и тестирование; качество данных и управление; и соответствие ИТ (экспонат). Хотя такие группы во многом взаимозависимы, особенно когда разрабатывается новый продукт или услуга, они часто не связаны формально.

Экспонат

Банки с передовой практикой координируют работу субдисциплин для достижения значительного синергизма по снижению рисков. Например, размещение данных жемчужины короны на серверах, отличных от тех, которые используются для основных операционных ИТ-систем, имеет значение для безопасности, аварийного восстановления и управления данными. Анализ этих трех рисков по отдельности может привести к непреднамеренным пробелам в управлении рисками или к избыточной чрезмерной защите.Координация дисциплин также позволяет избежать дублирования усилий, например, когда менеджер по продукту выполняет полдюжины пересекающихся обзоров рисков перед запуском продукта.

Закрыть бреши в трех линиях обороны

Банки не всегда последовательно применяли принципы, лежащие в основе трех линий защиты — подход к управлению рисками, принятый почти всеми финансовыми учреждениями любого размера — к технологическим рискам. Три линии защиты представляют собой более сложный подход к технологическим рискам, чем к рыночным или кредитным рискам, по двум основным причинам.Начнем с того, что первая линия включает в себя как бизнес, так и ИТ-функцию, которая ее задействует. Во-вторых, часто встречаются функции «полторы строки». В кибербезопасности, например, главный сотрудник по информационной безопасности (CISO) отвечает за установку политик и допусков к риску, а также за управление операциями в соответствии с этими ожиданиями — оба направления деятельности — второстепенные. Тем не менее, эта роль обычно находится в первой линии, как часть организации главного информационного директора (CIO). Такое стирание границ может создать потенциально проблемные ситуации, в которых группа «проверяет собственное домашнее задание».Подобная путаница в границах может возникнуть в некоторых разделах дисциплин, например, в аварийном восстановлении, где и первая, и вторая линии нуждаются в реальном технологическом опыте.

Банки должны тщательно прояснить роли и обязанности в управлении технологическим риском для каждой линии защиты. Все чаще организации просят группу ИТ-рисков взять на себя роль политики, надзора и оценки, в то время как операции по обеспечению безопасности остаются в компетенции ИТ-директора.

Подобные четкие различия необходимы, например, когда учреждения запускают новое приложение для мобильного банкинга.Пока бизнес устанавливает свои коммерческие требования, ИТ-группа будет совместно работать над определением архитектурных и технических требований. Функция второго уровня ИТ-рисков должна быть задействована с самого начала такого проекта для выявления подверженности риску (например, возможность увеличения числа случаев мошенничества или кражи с идентификацией клиента) и обеспечения независимого взгляда на действия по снижению рисков и обратной связи по результатам тестирования. Выявленные риски могут быть снижены CISO и его или ее командой с помощью компенсационных мер или изменений дизайна до запуска приложения.Это позволяет избежать задержек, перерасхода средств и организационной напряженности, возникающих в результате обнаружения уязвимостей во время проверки безопасности, проводимой слишком близко к запуску.

Интеграция с системой управления рисками предприятия

Во многих банках управление технологическими рисками отделено от управления рисками предприятия (ERM) и даже от группы операционных рисков. Это ограничивает способность банка определять приоритеты критически важных рисков и задействовать ресурсы для их устранения.Способствующим фактором часто является отсутствие общей технологической платформы управления рисками, разделяемой как группой ИТ-рисков, так и ERM или группой операционного риска. Без такой платформы банкам сложно систематизировать информацию о рисках, а менеджеры не имеют данных, необходимых для принятия решений.

Например, поскольку банки управляют операционными рисками, они часто уравновешивают преимущества автоматизации (для уменьшения вероятности человеческой ошибки) с контролем операционных процессов (для улучшения поведения).У каждого варианта есть свои преимущества, но есть и проблемы: автоматизация может создать технологический риск, в то время как операционный контроль может сделать системы громоздкими. Без единого взгляда на сопутствующие риски банкам часто приходится полагаться на сторонников конкретных инициатив при принятии решений по управлению рисками, а не на целостное представление о доступных подходах и их достоинствах. Таким образом, предвзятость может заключаться в оптимизации в рамках категории риска, а не в продвижении блага предприятия.

С другой стороны, если группа ИТ-рисков интегрирована с ERM, это может дать реальную выгоду, особенно если группа технологического риска находится под тем же зонтом, что и другие группы управления операционным риском.Решения могут приниматься на уровне, соответствующем потребностям бизнеса и потенциальной серьезности риска. Бизнес может принимать решения по низкоуровневым рискам напрямую, в то время как группа технических или операционных рисков занимается более значительными рисками, а корпоративное ERM и высшее руководство рассматривают наиболее важные из них.

Типичные решения со значительными, но недооцененными последствиями риска включают те, которые влияют на долгосрочную дорожную карту архитектуры банка и решения о риск-аппетите в отношении требований к тестированию основных изменений ИТ.Например, когда дело доходит до мобильных приложений, некоторые банки предпочтут быть первыми из них, учитывая ожидаемую ценность для клиентов, в то время как другие ждут разработки передовых методов. Оба курса могут быть разумными, но только высшее руководство должно выбирать между ними.

Два домена, в которых интеграция ERM может дать большие преимущества, — это устойчивость и аварийное восстановление, а также управление поставщиками и сторонними организациями. Чтобы предотвратить прерывание критически важных услуг, менеджеры по ИТ-рискам должны сформулировать аппетит к риску, отражающий влияние сбоев на бизнес.Большинство банков обнаружат, что для небольшого процента своих бизнес-процессов практически идеальная устойчивость ИТ-инфраструктуры имеет важное значение. Это инициируемые клиентом, критичные ко времени процессы (такие как снятие средств в банкоматах, брокерские транзакции и покупки в точках обслуживания) без альтернативы в реальном времени. Рисковые инвестиции в отказоустойчивость и аварийное восстановление должны быть сосредоточены на этих конкретных процессах и на относительно небольшом количестве систем, которые их поддерживают. Что касается других процессов, ИТ-менеджеры по рискам должны работать с ИТ-службой, чтобы определить потребности в поддержке процессов, в которых аппетит к риску относительно высок, и банки должны иметь возможность экономить за счет снижения уровня требуемой поддержки.

Менеджеры по ИТ-рискам также должны сотрудничать с бизнесом и ИТ, чтобы установить стандарты безопасности, непрерывности и аварийного восстановления для внешних поставщиков банковских услуг. Учитывая огромное количество поставщиков, которых используют банки, стандарты и аудиты должны применяться с учетом приоритетов рисков. Банкам также следует рассмотреть возможность более активного вовлечения своих ближайших поставщиков и партнеров во внутренние процессы ERM (для улучшения выявления, оценки и контроля рисков), а также для реагирования на инциденты.Банки, использующие «военные игры» для проверки своих планов реагирования на кризис, часто обнаруживают, что роли и обязанности третьих сторон устарели или плохо определены в соглашениях об уровне обслуживания, что может привести к проблемам во время реального нарушения.

Изменить стимулы для ИТ-менеджеров

Банки поощряют ИТ-менеджеров выполнять проекты вовремя и в рамках бюджета и поддерживать почти идеальный уровень доступности системы. Эти цели, безусловно, важны, но их чрезмерное внимание может означать, что менеджеры проектов не делают достаточно, чтобы минимизировать подверженность бизнес-рискам.Преобладающая культура поощряет краткосрочные поставки, недооценивая долгосрочные, но значительные риски. Например, возникают ситуации, в которых серверные системы технически функционируют, но фактический бизнес-процесс, ориентированный на клиента, недоступен в результате, например, потери соединения с базой данных или потери соединения с клиентом и задержки в работе системы резервного копирования. срабатывает. Редкие, но серьезные отключения почти никогда не упоминаются в системах управления производительностью, которые вместо этого содержат оперативные данные.

Для мониторинга рисков передовые банки добавляют прогнозные показатели, такие как время, необходимое для обнаружения и смягчения киберинцидентов, количество неизвестных устройств, подключенных к внутренней сети, несоблюдение поставщиками требований безопасности и отказ сотрудников от фишинга. тесты. Ведущие банки также отслеживают количество инцидентов и фактическое время восстановления критически важных цепочек услуг, включая системы, поддерживающие мобильный банкинг, услуги банкоматов и электронную торговлю. Такая система управления производительностью должна работать рука об руку со структурой обеспечения ценности, которая устанавливает для каждого крупного ИТ-проекта критерии согласования заинтересованных сторон и жизненного цикла разработки программного обеспечения.Исследования показали, что неспособность управлять этими элементами является наиболее частой причиной перерасхода бюджета и графика. Приведение бизнес-менеджеров и ИТ-менеджеров в соответствие с подходом к управлению рисками и их поведением имеет решающее значение.

Инвестируйте в специализированные таланты

Управление технологическими рисками требует критического мышления и практического опыта в области технологий, бизнеса и рисков. Людей со всеми этими навыками трудно найти и получить высокие зарплаты, но они незаменимы. Только специалист во всех этих областях может как эффективно бросить вызов ИТ-командам, так и действовать как мысленный партнер при принятии стратегических решений.

Хорошая новость для банков заключается в том, что они могут развивать такие таланты с помощью моделей укомплектования персоналом неполный рабочий день, обучения и программ ротации. Некоторым банкам удалось нанять опытных ИТ-специалистов, желающих научиться навыкам управления рисками, и дать им соответствующее обучение и продвинуть их по карьерной лестнице. Таким образом, банки могут сформировать основную группу профессионалов в области ИТ-рисков, хорошо разбирающихся в функциях, технологических разделах и методах управления операционными рисками.Это важные навыки для основной работы группы — осуществление надлежащего надзора со второй линии защиты. Они также помогут группе технологического риска в других частях работы. Менеджеры по ИТ-рискам должны определять стандарты архитектуры, входить в комитеты по анализу архитектуры, устанавливать согласованный жизненный цикл разработки программного обеспечения на предприятии и отслеживать результаты тестирования. Они должны гарантировать не только эффективную реализацию отдельных ИТ-изменений, но и устойчивость ИТ-среды в долгосрочной перспективе.

Независимый, но подключенный

Группа ИТ-риска должна быть в курсе того, что происходит во всех частях организации. Как оплот второй линии защиты, он должен иметь четкое представление о первой линии (как о компаниях, так и об ИТ-подразделениях, которые их поддерживают), иметь прочную связь с центральной ИТ-командой, налаживать связи между различными субдисциплинарными командами, и интегрировать свою работу с основной командой по управлению рисками, управляющей ERM.

Чтобы выполнить этот деликатный двойной шаг независимости и партнерства, банки могут рассмотреть два действия.Во-первых, они могут установить единую миссию для группы ИТ-рисков, которая должна поддерживать основной бизнес и быть партнером других функций для повышения общей эффективности управления технологическими рисками. Деятельность подразделения по управлению технологическими рисками должна быть сосредоточена на этом видении, разделяемом советом директоров и высшим руководством. Затем миссия функции состоит в том, чтобы понять конкретные риски, с которыми сталкивается банк с учетом его основных операционных процессов и организационной структуры, выявить основные проблемы в устранении этих рисков или управлении ими и распределить ответственность за конкретные необходимые действия.

Во-вторых, банки должны создавать эффективные модели взаимодействия и коммуникации, которые уменьшают двусмысленность и способствуют сотрудничеству. Четкая структура комитетов, частота встреч и порядок подчинения помогут избежать дублирования и гарантировать, что ключевые функции не останутся невыполненными. При выявлении и приоритизации рисков организации обычно могут опираться на существующие оценки и анализ рисков и добавлять механизмы для обеспечения сотрудничества.

Ожидания клиентов, акционеров и регулирующих органов относительно устойчивости банков будут продолжать расти.Недавние события выявили призрак в машине — то, как отказ технологий может нанести длительный ущерб бренду и репутации учреждения. Успешные банки создадут группу ИТ-риска в качестве второй линии защиты, которая будет взаимодействовать с бизнесом и ИТ-функциями, обеспечивая при этом эффективный надзор и устранение проблем. Группа также будет укомплектована экспертами в области технологий и управления рисками. Используя правильные методы и возможности, банки могут эффективно управлять технологическими рисками в эпоху цифровых технологий.

Управление рисками в здравоохранении: как управлять и смягчать

Роль управления рисками в здравоохранении за эти годы значительно изменилась. Но поскольку риски для отрасли здравоохранения многократно увеличиваются — как по количеству, так и по затратам, — управление рисками и менеджеры по рискам должны быть в авангарде бизнеса. В противном случае медицинские организации не смогут ни процветать, ни даже выжить.

Сегодняшние медицинские организации сталкиваются с такими проблемами, как быстрое развитие технологий, финансовые риски, развивающиеся правила безопасности пациентов, консолидация, устаревшие объекты и инфраструктуры, а также нехватка рабочей силы, что дает менеджерам по рискам в медицинских учреждениях лишь «несколько» рисков, которые нужно решать изо дня в день. из.

Это сдвиг по сравнению с 1970-ми и 1980-ми годами, когда менеджеры по рискам были сосредоточены почти исключительно на клинических вопросах и минимизации ущерба от обилия жалоб на врачебную халатность и требований о профессиональной ответственности, поданных в то время. Также проблематично: они, по сути, управляли этим единственным риском из своих собственных изолированных отделов

И хотя изолированные и несвязанные практики управления рисками могли бы позволить организациям здравоохранения пережить бурю врачебной халатности и профессиональной ответственности 30 и 40 лет назад, такие методы неприемлемы в сегодняшней неспокойной среде здравоохранения, где риски более разнообразны и сложны, чем когда-либо прежде.

Вот почему сегодняшние возросшие риски в здравоохранении требуют, чтобы отделы по управлению рисками расширили свою роль в организации. Но это требует более широкого подхода к управлению рисками, такого как интегрированное управление рисками предприятия.

Integrated ERM объединяет все риски в масштабах всего предприятия, чтобы определить, как они взаимосвязаны, раскрывая идеи, которые ранее были скрыты в отдельных разрозненных хранилищах.Основное внимание уделяется организационным системам и процессам; имеет тенденцию быть активным по своей природе, а не реактивным; и зависит как от создания стоимости, так и от снижения рисков.

Часто упоминаемые преимущества интегрированного ERM в медицинских учреждениях включают высокое качество ухода за пациентами, соблюдение нормативных требований, надлежащие инвестиции, устойчивость и усовершенствованные процессы. Однако такие преимущества не приходят без работы.

Прочтите: «5 способов интегрированного ERM приносят пользу организациям здравоохранения.”

Для начала, менеджеры по рискам могут выполнить оценку рисков в масштабах всей организации с учетом областей риска, установленных Американским обществом управления рисками в здравоохранении (ASHRM). Области риска включают в себя операционный, человеческий капитал, технологии, риски, стратегические риски, риски для здоровья / безопасности пациентов, юридические / нормативные и финансовые риски.

Отсюда вам нужно будет определить области, требующие улучшения, что потребует доступа к данным, которые могут адекватно выявить проблемные места или потенциальные истории успеха — например, снижение травматизма или затрат на компенсацию работникам.

Прочтите «Как создать отмеченную наградами программу безопасности».

Те же самые данные будут иметь решающее значение для увеличения и уменьшения доли участия в различных звеньях организации — один из следующих шагов в упрощении программы интегрированного управления рисками и расширении роли управления рисками в вашей организации здравоохранения.

Такие данные и даже сотрудничество между различными отделами и заинтересованными сторонами, необходимые для эффективного интегрированного ERM, намного проще получить с помощью правильных инструментов и технологий.В частности, большую помощь может оказать интегрированная технология управления рисками.

Правильная технология управления рисками может помочь медицинским организациям комплексно понимать, управлять и контролировать риски. Он будет предлагать технологию SaaS, которая автоматизирует процессы, упрощает анализ и оптимизирует сотрудничество, обеспечивая истинную интегрированную ERM-систему наиболее эффективным и экономичным способом.

В частности, правильная технология управления рисками обеспечит следующие возможности:

• Он объединяет широкий спектр данных о безопасности пациентов, страховании и управлении рисками в централизованную интерактивную систему.
• Ввод данных автоматически запускает анализ в реальном времени широкого спектра информации, связанной с безопасностью пациентов, страхованием и рисками, а также рабочих процессов и действий.
• Он действует как хранилище данных о безопасности пациентов и рисках, а также как стартовая площадка для действий интегрированного ERM.
• Он стандартизирует данные из различных источников в общие форматы, которые могут «общаться друг с другом», стимулируя деятельность по управлению рисками или анализу.
Возможности
• Mobile позволяют медицинским организациям быстро и легко вводить необходимые данные.

Все это поможет медицинским организациям лучше интегрировать свои риски, позволяя решать любые основные проблемы, вызывающие множественные риски, а также учитывать потенциальные преимущества рисков, которые могут реально создать ценность.

Информационная система управления рисками | HUB International

Масштабируемый
Доступный на различных уровнях, HUB RMIS предлагает множество инструментов, как автономных, так и в индивидуальных пакетах, для удовлетворения потребностей и бюджетов предприятий любого размера.

Агрегация данных о рисках
HUB RMIS может консолидировать и обновлять данные большого объема претензий от большого количества операторов связи и сторонних администраторов, а также может облегчить завершение и отслеживание политики, строительства собственности, занятости, подверженности и защиты данных. Эта технология также позволяет графически моделировать сложные программы политик, а также самоуправление претензиями, управление парком, сбор значений, отслеживание сертификатов, распределение и многое другое.

Отчетность и аналитика
Аналитика в HUB RMIS, индивидуально настроенная в соответствии с требованиями каждой отрасли и клиента, может прогнозировать тенденции, исключения и анализировать производительность в сравнении с внутренними и отраслевыми эталонными показателями. Благодаря разнообразию шаблонов отчетов и панелей управления рисками аналитика платформы собирает данные о рисках по местам и бизнес-отделам, чтобы удовлетворить индивидуальные потребности клиентов.

Автоматический рабочий процесс
HUB RMIS может упростить сбор данных об авариях или инцидентах.Он автоматизирует производство журналов OSHA, страховых свидетельств и других необходимых документов. Распространение ключевой информации также можно автоматизировать с помощью сложных функций планирования и распространения отчетов HUB RMIS.

Связь
HUB RMIS — это простой и экономичный способ для клиентов общаться как внутри, так и снаружи со своей международной командой HUB. Отчеты и информационные панели можно запланировать для автоматического запуска с заранее заданными интервалами и их рассылки по организации или на любой сторонний адрес электронной почты.Эта платформа также может интегрировать задачи и заметки с вашими календарями Outlook или Google.

Управление рисками: новая концепция

Примечание редактора. После того, как этот выпуск HBR был отправлен в печать, JP Morgan, чья практика управления рисками освещается в этой статье, обнаружила значительные торговые убытки в одном из своих подразделений. Авторы комментируют этот поворот событий в своем материале для информационного центра HBR по управлению рискованным поведением.

Когда Тони Хейворд стал генеральным директором BP в 2007 году, он поклялся сделать безопасность своим главным приоритетом. Среди новых правил, которые он ввел, были требования, согласно которым все сотрудники должны закрывать кофейные чашки во время ходьбы и воздерживаться от текстовых сообщений во время вождения. Три года спустя, по наблюдению Хейворда, в Мексиканском заливе взорвалась нефтяная вышка Deepwater Horizon, что привело к одной из самых страшных техногенных катастроф в истории. Комиссия по расследованию США объяснила катастрофу ошибками в управлении, которые ограничили «способность вовлеченных лиц выявлять риски, с которыми они сталкиваются, и должным образом оценивать, сообщать и устранять их.История Хейворда отражает общую проблему. Несмотря на всю риторику и вложенные в него деньги, управление рисками слишком часто рассматривается как проблема соответствия, которую можно решить, составив множество правил и убедившись, что все сотрудники их соблюдают. Многие из таких правил, конечно, разумны и действительно снижают некоторые риски, которые могут серьезно повредить компании. Но управление рисками на основе правил не уменьшит ни вероятность, ни последствия катастрофы, такой как Deepwater Horizon, точно так же, как не предотвратило банкротство многих финансовых учреждений во время кредитного кризиса 2007–2008 годов.

В этой статье мы представляем новую категоризацию рисков, которая позволяет руководителям определять, какими рисками можно управлять с помощью модели, основанной на правилах, а какие требуют альтернативных подходов. Мы исследуем индивидуальные и организационные проблемы, связанные с открытыми, конструктивными дискуссиями об управлении рисками, связанными со стратегическим выбором, и утверждаем, что компаниям необходимо закрепить эти обсуждения в своих процессах разработки и реализации стратегии. В заключение мы рассмотрим, как организации могут выявлять непредотвратимые риски, которые возникают вне их стратегии и операций, и подготовиться к ним.

Управление рисками: правила или диалог?

Первым шагом в создании эффективной системы управления рисками является понимание качественных различий между типами рисков, с которыми сталкиваются организации. Наши полевые исследования показывают, что риски делятся на одну из трех категорий. События риска из любой категории могут оказаться фатальными для стратегии компании и даже для ее выживания.

Категория I: Предотвращаемые риски.

Это внутренние риски, возникающие внутри организации, которые можно контролировать, и их следует устранять или избегать.Примерами являются риски, связанные с несанкционированными, незаконными, неэтичными, неправильными или несоответствующими действиями сотрудников и руководителей, а также риски сбоев в повседневных операционных процессах. Безусловно, компании должны иметь зону толерантности к дефектам или ошибкам, которые не причинят серьезного ущерба предприятию и для которых достижение полного исключения будет слишком дорогостоящим. Но в целом компаниям следует стремиться к устранению этих рисков, поскольку они не получают стратегических выгод от их принятия.Торговец-мошенник или служащий, подкупающий местного чиновника, может принести фирме некоторую краткосрочную прибыль, но со временем такие действия уменьшат стоимость компании.

Лучше всего управлять этой категорией риска посредством активного предотвращения: мониторинга операционных процессов и направления поведения и решений людей в соответствии с желаемыми нормами. Поскольку уже существует значительная литература о подходе к соблюдению правил, основанному на правилах, мы отсылаем заинтересованных читателей к врезке «Выявление и управление предотвращаемыми рисками» вместо полного обсуждения передовых практик.

Категория II: Стратегические риски.

Компания добровольно принимает на себя некоторый риск, чтобы получить превосходную прибыль от своей стратегии. Банк принимает на себя кредитный риск, например, когда ссужает деньги; многие компании берут на себя риски, проводя исследования и разработки.

Стратегические риски сильно отличаются от предотвратимых рисков, потому что они не являются нежелательными по своей сути. Стратегия с высокой ожидаемой доходностью обычно требует от компании принятия на себя значительных рисков, и управление этими рисками является ключевым фактором получения потенциальной прибыли.BP приняла на себя высокий риск бурения на несколько миль ниже поверхности Мексиканского залива из-за высокой стоимости нефти и газа, которые она надеялась добыть.

Стратегические риски не могут управляться с помощью модели контроля, основанной на правилах. Вместо этого вам нужна система управления рисками, предназначенная для снижения вероятности того, что предполагаемые риски действительно материализуются, и для улучшения способности компании управлять рисковыми событиями или сдерживать их в случае их возникновения. Такая система не остановит компании от рискованных предприятий; Напротив, это позволит компаниям брать на себя более рискованные и прибыльные предприятия, чем конкуренты с менее эффективным управлением рисками.

Категория III: Внешние риски.

Некоторые риски возникают в результате событий за пределами компании и находятся вне ее влияния или контроля. Источники этих рисков включают стихийные бедствия и политические бедствия и крупные макроэкономические сдвиги. Внешние риски требуют иного подхода. Поскольку компании не могут предотвратить такие события, их руководство должно сосредоточиться на идентификации (они, как правило, очевидны в ретроспективе) и смягчении их воздействия.

Компании должны адаптировать свои процессы управления рисками к этим различным категориям.Хотя подход, основанный на соблюдении требований, эффективен для управления предотвратимыми рисками, он совершенно неадекватен для стратегических рисков или внешних рисков, которые требуют принципиально иного подхода, основанного на открытом и явном обсуждении рисков. Однако это легче сказать, чем сделать; Обширные поведенческие и организационные исследования показали, что у людей есть сильные когнитивные предубеждения, которые мешают им думать и обсуждать риски, пока не станет слишком поздно.

Почему трудно говорить о риске

Многочисленные исследования показали, что люди переоценивают свою способность влиять на события, которые на самом деле во многом определяются случайностью.Мы склонны быть чрезмерно самоуверенными относительно точности наших прогнозов и оценок рисков и слишком узкими в нашей оценке диапазона возможных результатов.

Мы также привязываем наши оценки к легкодоступным свидетельствам, несмотря на известную опасность линейных экстраполяций из недавней истории в весьма неопределенное и изменчивое будущее. Мы часто усугубляем эту проблему с предвзятостью подтверждения , , которая побуждает нас отдавать предпочтение информации, которая поддерживает наши позиции (обычно успешные), и подавлять информацию, которая им противоречит (обычно неудачи).Когда события расходятся с нашими ожиданиями, мы склонны к эскалации обязательств, иррационально направляем еще больше ресурсов на наш неудачный образ действий — разбрасывая хорошие деньги за плохими.

Организационные предубеждения также мешают нам обсуждать риски и неудачи. В частности, команды, находящиеся в неопределенных условиях, часто используют групповое мышление : после того, как курс действий получил поддержку в группе, те, кто еще не присоединился к команде, как правило, подавляют свои возражения — какими бы обоснованными они ни были — и подчиняются.Групповое мышление особенно вероятно, если командой руководит властный или самоуверенный менеджер, который хочет свести к минимуму конфликты, задержки и вызовы своему авторитету.

В совокупности эти индивидуальные и организационные предубеждения объясняют, почему так много компаний игнорируют или неправильно интерпретируют неоднозначные угрозы. Вместо того, чтобы уменьшать риск, фирмы фактически инкубируют риск посредством нормализации отклонений , по мере того, как они учатся терпимо относиться к очевидным незначительным сбоям и дефектам и рассматривать сигналы раннего предупреждения как ложные, а не предупреждения о надвигающейся опасности.

Эффективные процессы управления рисками должны противодействовать этим предубеждениям. «Снижение риска — болезненный процесс, и это не является естественным действием для человека», — говорит Джентри Ли, главный системный инженер Лаборатории реактивного движения (JPL), подразделения Национального управления США по аэронавтике и исследованию космического пространства. Ученые-ракетологи в проектных группах JPL — лучшие выпускники элитных университетов, многие из которых никогда не терпели неудач в школе или на работе. Самая большая проблема Ли в создании новой культуры риска в JPL заключалась в том, чтобы заставить проектные группы чувствовать себя комфортно, думая и говоря о том, что может пойти не так с их прекрасным дизайном.

Правила о том, что делать и чего не делать, здесь не помогут. Фактически, они обычно имеют противоположный эффект, поощряя менталитет контрольного списка, который препятствует вызову и обсуждению. Управление стратегическими рисками и внешними рисками требует очень разных подходов. Мы начнем с изучения того, как выявлять и снижать риски стратегии.

Управление стратегическими рисками

За последние 10 лет исследований мы выявили три различных подхода к управлению стратегическими рисками.Какая модель подходит для данной фирмы, во многом зависит от контекста, в котором работает организация. Каждый подход требует совершенно разных структур и ролей для функции управления рисками, но все три побуждают сотрудников оспаривать существующие предположения и обсуждать информацию о рисках. Наш вывод о том, что «один размер не подходит для всех», противоречит усилиям регулирующих органов и профессиональных ассоциаций по стандартизации функции.

Независимые эксперты.

Некоторые организации, особенно такие, как JPL, которые расширяют границы технологических инноваций, сталкиваются с высоким внутренним риском, поскольку они реализуют длительные, сложные и дорогостоящие проекты по разработке продуктов.Но поскольку большая часть риска возникает из-за того, что вы подчиняетесь известным законам природы, риск медленно меняется с течением времени. Для этих организаций управление рисками может осуществляться на уровне проекта.

JPL, например, учредила совет по анализу рисков, состоящий из независимых технических экспертов, роль которых состоит в том, чтобы оспаривать решения инженеров по проектированию, оценке рисков и снижению рисков. Эксперты обеспечивают периодическую оценку рисков на протяжении всего цикла разработки продукта.Поскольку риски относительно неизменны, наблюдательный совет должен встречаться только один или два раза в год, при этом руководитель проекта и глава наблюдательного совета проводят заседания ежеквартально.

Заседания совета по анализу рисков проходят интенсивно, создавая то, что Джентри Ли называет «культурой интеллектуального противостояния». Как говорит член правления Крис Левицки: «Мы разрываем друг друга, бросаем камни и очень критически комментируем все, что происходит». При этом инженеры-проектировщики видят свою работу с другой точки зрения.«Это отрывает их носы от точильного камня», — добавляет Левицки.

Встречи, как конструктивные, так и конфронтационные, не предназначены для того, чтобы помешать команде проекта выполнять весьма амбициозные задачи и замыслы. Но они заставляют инженеров заранее подумать о том, как они будут описывать и защищать свои проектные решения и достаточно ли они учли вероятные отказы и дефекты. Члены правления, выступая в роли защитников дьявола, уравновешивают естественную самоуверенность инженеров, помогая избежать эскалации приверженности проектам с неприемлемым уровнем риска.

В JPL комиссия по анализу рисков не только способствует активному обсуждению рисков проекта, но и имеет полномочия над бюджетами. Совет устанавливает резервы затрат и времени для каждого компонента проекта в соответствии с его степенью инновационности. Например, простое продление предыдущей миссии потребует от 10% до 20% финансового резерва, тогда как совершенно новый компонент, который еще не работал на Земле — а тем более на неизведанной планете — может потребовать от 50% до 75% непредвиденных обстоятельств. .Резервы гарантируют, что, когда проблемы неизбежно возникнут, команда проекта получит доступ к деньгам и времени, необходимым для их решения, без ущерба для даты запуска. JPL серьезно относится к оценкам; проекты были отложены или отменены, если средств было недостаточно для покрытия рекомендованных резервов.

Управление рисками болезненно — это не естественный поступок для человека.

Посредники.

Многие организации, такие как традиционные предприятия энергетики и водоснабжения, работают в стабильной технологической и рыночной среде с относительно предсказуемым потребительским спросом.В этих ситуациях риски в значительной степени проистекают из кажущихся несвязанными операционных решений в сложной организации, которые накапливаются постепенно и могут оставаться скрытыми в течение длительного времени.

Поскольку ни одна группа сотрудников не обладает знаниями для управления рисками на операционном уровне в рамках различных функций, фирмы могут развернуть относительно небольшую центральную группу управления рисками, которая собирает информацию от операционных менеджеров. Это повышает осведомленность менеджеров о рисках, взятых на себя в организации, и дает лицам, принимающим решения, полную картину профиля рисков компании.

Мы наблюдали эту модель в действии в Hydro One, канадской электроэнергетической компании. Директор по рискам Джон Фрейзер при явной поддержке генерального директора ежегодно проводит десятки семинаров, на которых сотрудники всех уровней и функций выявляют и ранжируют основные риски, которые они видят для стратегических целей компании. Сотрудники используют технологию анонимного голосования для оценки каждого риска по шкале от 1 до 5 с точки зрения его воздействия, вероятности возникновения и силы существующих средств контроля.Рейтинги обсуждаются на семинарах, и сотрудники имеют право высказывать и обсуждать свое восприятие рисков. В конечном итоге группа вырабатывает консенсусное мнение, которое фиксируется на визуальной карте рисков, рекомендует планы действий и назначает «владельца» для каждого крупного риска.

Опасность внедрения риск-менеджеров в линейную организацию заключается в том, что они «становятся местными» — становятся участниками сделки, а не ее участниками.

Hydro One усиливает подотчетность, увязывая решения о распределении капитала и бюджете с выявленными рисками.В процессе планирования капиталовложений на корпоративном уровне выделяются сотни миллионов долларов, в основном на проекты, которые эффективно и действенно снижают риски. Группа риска привлекает технических экспертов для оспаривания инвестиционных планов линейных инженеров и оценок рисков, а также для обеспечения независимого экспертного надзора за процессом распределения ресурсов. На ежегодном собрании по распределению капитала линейные менеджеры должны защищать свои предложения перед коллегами и высшим руководством. Менеджеры хотят, чтобы их проекты привлекали финансирование в процессе планирования капитала с учетом рисков, поэтому они учатся преодолевать предвзятость, чтобы скрыть или минимизировать риски в своих областях ответственности.

Встроенные эксперты.

Отрасль финансовых услуг представляет собой уникальную проблему из-за нестабильной динамики рынков активов и потенциального воздействия решений, принимаемых децентрализованными трейдерами и инвестиционными менеджерами. Профиль риска инвестиционного банка может резко измениться в результате одной сделки или крупного движения на рынке. Для таких компаний управление рисками требует наличия встроенных экспертов в организации, которые должны постоянно отслеживать профиль рисков бизнеса и влиять на него, работая бок о бок с линейными руководителями, деятельность которых порождает новые идеи, инновации и риски — и, если все пойдет хорошо, прибыль. .

JP Morgan Private Bank принял эту модель в 2007 году, когда разразился мировой финансовый кризис. Риск-менеджеры, входящие в линейную организацию, подчиняются как линейным руководителям, так и централизованной независимой службе управления рисками. Личный контакт с линейными менеджерами позволяет опытным менеджерам по управлению рисками постоянно задавать вопросы «а что, если», подвергая сомнению предположения управляющих портфелем и заставляя их смотреть на различные сценарии. Риск-менеджеры оценивают, как предлагаемые сделки влияют на риск всего инвестиционного портфеля не только при нормальных обстоятельствах, но и в периоды экстремального стресса, когда корреляция доходности по разным классам активов возрастает.«Управляющие портфелем приходят ко мне с тремя сделками, и модель [риска] может сказать, что все три добавляют к одному и тому же типу риска», — объясняет Григорий Жикарев, риск-менеджер JP Morgan. «В девяти случаях из 10 менеджер скажет:« Нет, это не то, чем я хочу заниматься ». Затем мы можем сесть и изменить структуру сделок».

Главная опасность встраивания менеджеров по рискам в линейную организацию состоит в том, что они «становятся родными», присоединяются к внутреннему кругу руководящей группы бизнес-подразделения, становясь участниками сделки, а не лицами, задающими вопросы.Предотвратить это — обязанность старшего сотрудника по управлению рисками компании и, в конечном итоге, генерального директора, который задает тон культуре управления рисками компании.

Как избежать ловушки функций

Даже если у менеджеров есть система, которая способствует активному обсуждению рисков, их поджидает вторая когнитивно-поведенческая ловушка. Поскольку многие стратегические риски (и некоторые внешние риски) вполне предсказуемы — даже знакомы, — компании склонны маркировать и разделять их, особенно по направлениям деятельности.Банки часто управляют тем, что они называют «кредитным риском», «рыночным риском» и «операционным риском» в отдельных группах. Другие компании разделяют управление на «риск бренда», «риск репутации», «риск цепочки поставок», «риск человеческих ресурсов», «ИТ-риск» и «финансовый риск».

Такие организационные разрозненности рассредоточивают как информацию, так и ответственность за эффективное управление рисками. Они препятствуют обсуждению того, как взаимодействуют различные риски. Хорошее обсуждение рисков должно быть не только конфронтационным, но и комплексным.Бизнес может потерпеть неудачу из-за комбинации небольших событий, которые непредвиденным образом усиливают друг друга.

Менеджеры могут разработать перспективу рисков в масштабах компании, привязывая свои обсуждения к стратегическому планированию — единому интеграционному процессу, который уже есть в большинстве хорошо управляемых компаний. Например, Infosys, индийская компания, предоставляющая ИТ-услуги, генерирует обсуждения рисков с помощью сбалансированной системы показателей, своего инструмента управления для измерения стратегии и обмена информацией. «Когда мы спросили себя, какие риски нам следует учитывать, — говорит М.Директор по управлению рисками Д. Ранганат: «Мы постепенно концентрировались на рисках для бизнес-целей, указанных в нашей корпоративной системе показателей».

При построении своей сбалансированной системы показателей Infosys определила «растущие отношения с клиентами» в качестве ключевой цели и выбрала показатели для измерения прогресса, такие как количество глобальных клиентов с ежегодными счетами, превышающими 50 миллионов долларов США, и ежегодное процентное увеличение доходов от крупных компаний. клиентов. При рассмотрении цели и показателей эффективности руководство осознало, что его стратегия привнесла новый фактор риска: дефолт клиентов.Когда бизнес Infosys был основан на большом количестве мелких клиентов, дефолт одного клиента не поставил бы под угрозу стратегию компании. Но невыполнение обязательств клиентом за 50 миллионов долларов приведет к серьезной неудаче. Infosys начала отслеживать процент свопа кредитного дефолта каждого крупного клиента как ведущий индикатор вероятности дефолта. Когда ставка клиента увеличивается, Infosys ускоряет сбор дебиторской задолженности или запрашивает промежуточные платежи, чтобы снизить вероятность или влияние дефолта.

В качестве другого примера рассмотрим Volkswagen do Brasil (впоследствии сокращенно VW), бразильский филиал немецкого автопроизводителя.Подразделение по управлению рисками VW использует стратегическую карту компании в качестве отправной точки для диалога о рисках. Для каждой цели на карте группа определяет события риска, которые могут привести к тому, что VW не достигнет этой цели. Затем группа создает карту событий риска для каждого риска на карте, в котором перечисляются практические последствия события для операций, вероятность возникновения, опережающие индикаторы и возможные действия по снижению. Он также определяет, кто несет основную ответственность за управление рисками.(См. Выставку «Карточка событий риска».) Группа управления рисками затем представляет высшему руководству краткое изложение результатов. (См. «Отчет о рисках».)

Помимо внедрения систематического процесса выявления и снижения стратегических рисков, компаниям также необходима структура надзора за рисками. Infosys использует двойную структуру: центральная группа управления рисками, которая определяет общие стратегические риски и устанавливает центральную политику, и специализированные функциональные группы, которые разрабатывают и контролируют политики и средства контроля в консультации с местными бизнес-группами.Децентрализованные группы обладают полномочиями и опытом, чтобы помочь бизнес-направлениям реагировать на угрозы и изменения в их профилях рисков, передавая на рассмотрение центральной группе управления рисками только исключения. Например, если менеджер по работе с клиентами хочет предоставить более длительный период кредита компании, параметры кредитного риска которой высоки, функциональный менеджер по рискам может отправить дело на рассмотрение в центральную группу.

Эти примеры показывают, что размер и объем функции управления рисками не продиктованы размером организации.Hydro One, крупная компания, имеет относительно небольшую группу риска для повышения осведомленности о рисках и информирования всей фирмы, а также для консультирования исполнительной группы по распределению ресурсов с учетом рисков. Напротив, относительно небольшие компании или подразделения, такие как JPL или JP Morgan Private Bank, нуждаются в нескольких экспертных советах на уровне проектов или в группах встроенных менеджеров по рискам, чтобы применять знания в предметной области для оценки рисков бизнес-решений. И Infosys, крупной компании с широким операционным и стратегическим охватом, требуется сильная централизованная функция управления рисками, а также распределенные менеджеры по рискам, которые поддерживают местные бизнес-решения и способствуют обмену информацией с централизованной группой рисков.

Управление неконтролируемым

Внешние риски, третья категория рисков, обычно невозможно уменьшить или избежать с помощью подходов, используемых для управления предотвратимыми и стратегическими рисками. Внешние риски в значительной степени находятся вне контроля компании; компаниям следует сосредоточиться на их выявлении, оценке их потенциального воздействия и выяснении того, как лучше всего смягчить их последствия в случае их возникновения.

Некоторые события внешнего риска достаточно неизбежны, чтобы менеджеры могли управлять ими так же, как и рисками своей стратегии.Например, во время экономического спада после мирового финансового кризиса Infosys выявила новый риск, связанный с ее целью по развитию глобальной рабочей силы: всплеск протекционизма, который может привести к жестким ограничениям на рабочие визы и разрешения для иностранных граждан в нескольких странах ОЭСР. страны, в которых у Infosys было большое количество клиентов. Хотя протекционистское законодательство технически является внешним риском, поскольку он находится вне контроля компании, Infosys рассмотрела его как стратегический риск и создала для него Карту событий риска, которая включала новый индикатор риска: количество и процент сотрудников с двойным гражданством или существующих разрешения на работу за пределами Индии.Если это число сократится из-за текучести кадров, глобальная стратегия Infosys может оказаться под угрозой. Поэтому Infosys внедрила политику найма и удержания персонала, которая смягчает последствия этого внешнего риска.

Однако для большинства событий внешнего риска требуется иной аналитический подход либо потому, что вероятность их возникновения очень мала, либо потому, что менеджерам трудно их предвидеть во время своих обычных стратегических процессов. Мы выделили несколько различных источников внешних рисков:

• Стихийные бедствия и экономические катастрофы с немедленным воздействием. Эти риски в общих чертах предсказуемы, хотя их время обычно не определяется (когда-нибудь в Калифорнии произойдет сильное землетрясение, но точно неизвестно, где и когда). Их можно ожидать только по относительно слабым сигналам. Примеры включают стихийные бедствия, такие как извержение исландского вулкана в 2010 году, которое закрыло европейское воздушное пространство на неделю, и экономические бедствия, такие как лопание крупного пузыря цен на активы. Когда возникают эти риски, их последствия, как правило, бывают резкими и немедленными, как мы видели на примере разрушений в результате землетрясения и цунами в Японии в 2011 году.

• Геополитические и экологические изменения с долгосрочными последствиями. Сюда входят политические сдвиги, такие как серьезные изменения в политике, перевороты, революции и войны; долгосрочные изменения окружающей среды, такие как глобальное потепление; и истощение важнейших природных ресурсов, таких как пресная вода.

• Конкурентные риски со среднесрочным воздействием. К ним относятся появление прорывных технологий (таких как Интернет, смартфоны и штрих-коды) и радикальные стратегические шаги со стороны игроков отрасли (такие как выход Amazon на рынок розничной торговли книгами и Apple на рынок мобильных телефонов и бытовой электроники).

Компании используют разные аналитические подходы для каждого из источников внешнего риска.

Способность фирмы выдерживать штормы зависит от того, насколько серьезно руководители относятся к управлению рисками, когда светит солнце и на горизонте нет облаков.

Стресс-тесты хвостового риска.

Стресс-тестирование помогает компаниям оценить значительные изменения в одной или двух конкретных переменных, последствия которых будут значительными и немедленными, хотя точные сроки не поддаются прогнозированию.Фирмы, предоставляющие финансовые услуги, используют стресс-тесты для оценки, например, того, как такое событие, как утроение цен на нефть, резкое колебание обменных курсов или процентных ставок, или дефолт крупного учреждения или суверенной страны, повлияет на торговые позиции и инвестиции.

Однако выгоды от стресс-тестирования в решающей степени зависят от предположений — которые сами по себе могут быть предвзятыми — о том, насколько изменится рассматриваемая переменная. Например, стресс-тесты многих банков в 2007–2008 годах предполагали наихудший сценарий, при котором U.Цены на жилье выровнялись и оставались неизменными в течение нескольких периодов. Очень немногие компании задумывались о том, чтобы проверить, что произойдет, если цены начнут снижаться — отличный пример тенденции привязать оценки к последним и легкодоступным данным. Большинство компаний экстраполировали недавние цены на жилье в США, которые в течение нескольких десятилетий не падали в целом, чтобы разработать излишне оптимистичные рыночные оценки.

Сценарное планирование.

Этот инструмент подходит для долгосрочного анализа, обычно от 5 до 10 лет.Первоначально разработанный Shell Oil в 1960-х годах, анализ сценариев представляет собой систематический процесс определения вероятных границ будущих состояний мира. Участники изучают политические, экономические, технологические, социальные, регулирующие и экологические факторы и выбирают некоторое количество факторов, обычно четыре, которые окажут наибольшее влияние на компанию. Некоторые компании явно используют опыт своих консультативных советов, чтобы информировать их о важных тенденциях, выходящих за рамки повседневной деятельности компании и отрасли, которые следует учитывать в их сценариях.

Для каждого из выбранных драйверов участники оценивают максимальные и минимальные ожидаемые значения на период от 5 до 10 лет. Объединение крайних значений для каждого из четырех драйверов приводит к 16 сценариям. Около половины имеют тенденцию быть неправдоподобными и отбрасываются; Затем участники оценивают, как стратегия их фирмы будет работать в оставшихся сценариях. Если менеджеры видят, что их стратегия зависит от в целом оптимистичного взгляда, они могут изменить ее, чтобы учесть пессимистические сценарии, или разработать планы того, как они будут изменять свою стратегию, если ранние индикаторы покажут возрастающую вероятность того, что события повернутся против нее.

Военная игра.

War-gaming оценивает уязвимость фирмы перед разрушительными технологиями или изменениями в стратегиях конкурентов. В военной игре компания поручает трем или четырем командам разработать правдоподобные краткосрочные стратегии или действия, которые существующие или потенциальные конкуренты могут предпринять в течение следующих одного или двух лет — более короткий временной горизонт, чем у анализа сценариев. Затем команды встречаются, чтобы изучить, как умные конкуренты могут атаковать стратегию компании.Этот процесс помогает преодолеть предвзятость лидеров игнорировать доказательства, противоречащие их текущим убеждениям, включая возможность действий, которые могут предпринять конкуренты, чтобы подорвать их стратегию.

Компании не могут повлиять на вероятность событий риска, выявленных с помощью таких методов, как тестирование риска хвоста, планирование сценариев и военные действия. Но менеджеры могут предпринять конкретные действия для смягчения своего воздействия. Поскольку моральный риск не возникает из-за непредвиденных событий, компании могут использовать страхование или хеджирование для смягчения некоторых рисков, как это делает авиакомпания, когда она защищает себя от резкого повышения цен на топливо с помощью производных финансовых инструментов.Другой вариант для фирм — делать инвестиции сейчас, чтобы избежать гораздо более высоких затрат в будущем. Например, производитель, располагающий объектами в сейсмоопасных районах, может увеличить затраты на строительство, чтобы защитить критически важные объекты от сильных землетрясений. Кроме того, компании, подверженные различным, но сопоставимым рискам, могут сотрудничать для их снижения. Например, ИТ-центры университета в Северной Каролине будут уязвимы для риска ураганов, в то время как центры сопоставимого университета на разломе Сан-Андреас в Калифорнии будут уязвимы для землетрясений.Вероятность того, что оба бедствия произойдут в один и тот же день, достаточно мала, чтобы два университета могли уменьшить свои риски, создавая резервные копии систем друг друга каждую ночь.

Вызов лидерства

Управление рисками сильно отличается от стратегии управления. Управление рисками сосредотачивается на негативе — угрозах и неудачах, а не на возможностях и успехах. Это полностью противоречит культуре «умения», которую большинство руководящих команд стараются развивать при реализации стратегии.И многие лидеры имеют тенденцию недооценивать будущее; они не хотят тратить время и деньги сейчас, чтобы избежать неопределенной будущей проблемы, которая может возникнуть в будущем на чьей-то стороне. Более того, снижение риска обычно включает в себя рассредоточение ресурсов и диверсификацию инвестиций, что прямо противоположно сосредоточенности успешной стратегии. Менеджеры могут посчитать, что отстаивание процессов, которые выявляют риски для стратегий, которые они помогли сформулировать, противоречат их культуре.

По этим причинам большинству компаний требуется отдельная функция для управления стратегическими и внешними рисками.Размер функции управления рисками будет варьироваться от компании к компании, но группа должна подчиняться непосредственно руководству. В самом деле, налаживание тесных отношений с высшим руководством, возможно, будет его самой важной задачей; Способность компании выдерживать штормы во многом зависит от того, насколько серьезно руководители относятся к своей функции управления рисками, когда светит солнце и на горизонте нет облаков.

Это то, что отделяло банки, потерпевшие крах во время финансового кризиса, от выживших.Обанкротившиеся компании переложили управление рисками на функцию комплаенса; их менеджеры по рискам имели ограниченный доступ к высшему руководству и советам директоров. Кроме того, руководители обычно игнорировали предупреждения менеджеров по рискам о высокоприбыльных и сконцентрированных позициях. В отличие от этого, Goldman Sachs и JPMorgan Chase, две фирмы, которые хорошо пережили финансовый кризис, обладали сильными внутренними функциями управления рисками и руководящими группами, которые понимали и управляли множественными подверженностями компаний рискам.Барри Зуброу, директор по рискам в JP Morgan Chase, сказал нам: «Возможно, у меня есть титул, но [генеральный директор] Джейми Даймон является директором по рискам компании». Управление рисками не интуитивно понятно; это противоречит многим индивидуальным и организационным предубеждениям. Правила и соответствие могут снизить некоторые критические риски, но не все из них. Активное и рентабельное управление рисками требует от менеджеров систематического обдумывания множества категорий рисков, с которыми они сталкиваются, чтобы они могли разработать соответствующие процессы для каждой из них.Эти процессы нейтрализуют их управленческое предубеждение смотреть на мир таким, каким они хотели бы его видеть, а не таким, каким он есть на самом деле или каким он может стать.

Оценка и управление рисками для специалистов по безопасности

Что такое оценка рисков?

Оценка рисков — это функция в рамках управления рисками безопасности и гигиены труда (БГТ), которая направлена ​​на выявление потенциальных опасностей.Цель состоит в том, чтобы идентифицировать опасности, а затем анализировать и оценивать риски, которые они создают.

Что такое управление рисками?

Управление рисками в БГТ — это формальный процесс выявления опасностей, оценки и анализа рисков, связанных с этими опасностями, а затем принятия мер по их устранению или контроля рисков, которые невозможно устранить, чтобы свести к минимуму вероятность травм и заболеваний. Управление рисками является важным шагом в усилиях любой организации по упреждающему снижению риска до того, как произойдет травма или катастрофа.

Почему риск важен для безопасности?

Риск — основная причина неопределенности в любой организации. Как профессионал в области безопасности, вы можете помочь своей организации выявлять риски и управлять ими до того, как произойдет инцидент.

В то время как ваша организация должна соблюдать нормативные требования и снижать уровень травматизма, эти показатели заставляют смотреть в зеркало заднего вида. Применение принципов управления рисками может помочь вам упреждающе снизить риски, повысить безопасность и повысить окупаемость инвестиций в программы безопасности.

Основные компетенции, связанные с рисками

Многие ключевые компетенции по управлению рисками определены и описаны в таких стандартах, как ANSI / ASSP Z10 и ANSI / ASSP / ISO 45001, которые касаются систем управления безопасностью труда. Дополнительные сведения приведены в стандартах ANSI / ASSP ISO 31000 «Управление рисками» и ANSI / ASSP Z590.3 «Предотвращение посредством проектирования».

Чтобы эффективно управлять рисками как специалист по охране труда, вы должны хорошо разбираться в следующих процессах: