stringtranslate.com

Управление рисками

Пример оценки риска: модель НАСА , показывающая зоны высокого риска при столкновении с Международной космической станцией.

Управление рисками — это выявление, оценка и приоритизация рисков с последующей минимизацией, мониторингом и контролем воздействия или вероятности возникновения этих рисков. [1]

Риски могут возникать из различных источников (например, угрозы ), включая неопределенность на международных рынках , политическую нестабильность , опасность провала проекта (на любом этапе проектирования, разработки, производства или поддержания жизненного цикла), правовую ответственность , кредитный риск , несчастные случаи , стихийные бедствия и катастрофы , преднамеренное нападение со стороны противника или события с неопределенной или непредсказуемой первопричиной .

Существует два типа событий: риски и возможности. Негативные события можно классифицировать как риски, в то время как позитивные события классифицируются как возможности. Стандарты управления рисками были разработаны различными учреждениями, включая Институт управления проектами , Национальный институт стандартов и технологий , актуарные общества и Международную организацию по стандартизации . [2] [3] [4] Методы, определения и цели сильно различаются в зависимости от того, находится ли метод управления рисками в контексте управления проектами , безопасности , инжиниринга , промышленных процессов , финансовых портфелей , актуарных оценок или общественного здравоохранения и безопасности . Некоторые стандарты управления рисками подвергались критике за то, что не имели измеримого улучшения риска, в то время как уверенность в оценках и решениях, по-видимому, возрастает. [1]

Стратегии управления угрозами (неопределенностями с негативными последствиями) обычно включают избежание угрозы, снижение негативного эффекта или вероятности угрозы, передачу всей или части угрозы другой стороне и даже сохранение некоторых или всех потенциальных или фактических последствий конкретной угрозы. Противоположность этим стратегиям может использоваться для реагирования на возможности (неопределенные будущие состояния с выгодами).

В качестве профессиональной роли менеджер по рискам [5] будет «контролировать комплексную программу страхования и управления рисками организации, оценивая и выявляя риски, которые могут помешать репутации, безопасности, сохранности или финансовому успеху организации», а затем разрабатывать планы по минимизации и/или смягчению любых негативных (финансовых) результатов. Аналитики по рискам [6] поддерживают техническую сторону подхода организации к управлению рисками: после того, как данные о рисках собраны и оценены, аналитики делятся своими выводами со своими менеджерами, которые используют эти идеи для выбора возможных решений. См. также Директор по рискам , Внутренний аудит и Управление финансовыми рисками § Корпоративные финансы .

Введение

Риск определяется как вероятность того, что произойдет событие, которое негативно повлияет на достижение цели. Таким образом, неопределенность является ключевым аспектом риска.

Управление рисками появляется в научной и управленческой литературе с 1920-х годов. Оно стало формальной наукой в ​​1950-х годах, когда статьи и книги с «управлением рисками» в названии также появлялись в библиотечных поисках. [7] Большинство исследований изначально были связаны с финансами и страхованием.

Одним из популярных стандартных поясняющих словарей, используемых в управлении рисками, является ISO Guide 31073:2022 «Управление рисками — Словарь». [2]

В идеале при управлении рисками следует процессу приоритезации. При котором риски с наибольшими потерями (или последствиями) и наибольшей вероятностью возникновения обрабатываются в первую очередь. Риски с меньшей вероятностью возникновения и меньшими потерями обрабатываются в порядке убывания. На практике процесс оценки общего риска может быть сложным, и организация должна сбалансировать ресурсы, используемые для смягчения между рисками с большей вероятностью, но меньшими потерями, и риском с большими потерями, но меньшей вероятностью.

Альтернативная стоимость представляет собой уникальную проблему для риск-менеджеров. Может быть сложно определить, когда следует направлять ресурсы на управление рисками, а когда использовать эти ресурсы в других целях. Опять же, идеальное управление рисками оптимизирует использование ресурсов (расходы, рабочую силу и т. д.), а также минимизирует негативные последствия рисков.

Риски против возможностей

Возможности впервые появляются в академических исследованиях или книгах по менеджменту в 1990-х годах. В первом проекте свода знаний по управлению проектами PMBoK 1987 года возможности вообще не упоминаются.

Современная школа управления проектами признает важность возможностей. Возможности были включены в литературу по управлению проектами с 1990-х годов, например, в PMBoK, и стали значительной частью управления рисками проекта в 2000-х годах, [8] когда статьи под названием «управление возможностями» также начали появляться в библиотечных поисках. Таким образом, управление возможностями стало важной частью управления рисками.

Современная теория управления рисками имеет дело с любым типом внешних событий, как позитивных, так и негативных. Положительные риски называются возможностями . Подобно рискам, возможности имеют определенные стратегии смягчения: эксплуатировать, делиться, улучшать, игнорировать.

На практике риски считаются «обычно негативными». Исследования и практика, связанные с рисками, в значительно большей степени фокусируются на угрозах, чем на возможностях. Это может привести к негативным явлениям, таким как фиксация на цели . [9]

Метод

В большинстве случаев эти методы состоят из следующих элементов, выполняемых, примерно, в следующем порядке:

  1. Определите угрозы .
  2. Оцените уязвимость критически важных активов к конкретным угрозам.
  3. Определите риск (т. е. ожидаемую вероятность и последствия конкретных атак на конкретные активы).
  4. Определите способы снижения этих рисков.
  5. Отдайте приоритет мерам по снижению риска.

Область знаний по управлению рисками , как определено Сводом знаний по управлению проектами PMBoK, состоит из следующих процессов:

  1. Планирование управления рисками – определение порядка проведения мероприятий по управлению рисками.
  2. Выявление рисков – выявление отдельных рисков проекта, а также их источников.
  3. Проведение качественного анализа рисков — определение приоритетности отдельных рисков проекта путем оценки вероятности и воздействия.
  4. Проведение количественного анализа рисков — численного анализа эффектов.
  5. Планирование реагирования на риски – разработка вариантов, выбор стратегий и действий.
  6. Реализация реагирования на риски – реализация согласованных планов реагирования на риски. В 4-м издании PMBoK этот процесс был включен в качестве деятельности в процесс мониторинга и контроля, но позже был выделен в отдельный процесс в 6-м издании PMBoK. [10]
  7. Мониторинг рисков – мониторинг внедрения. Этот процесс был известен как Мониторинг и контроль в предыдущем PMBoK 4th Ed., когда он также включал процесс « Внедрение ответов на риски ».

Принципы

Международная организация по стандартизации (ИСО) определяет следующие принципы управления рисками: [3]

Умеренный и дикий риск

Бенуа Мандельброт различал «умеренный» и «дикий» риск и утверждал, что оценка и управление рисками должны быть принципиально разными для двух типов риска. [11] Умеренный риск следует нормальному или близкому к нормальному распределению вероятностей , подвержен регрессии к среднему значению и закону больших чисел и, следовательно, относительно предсказуем. Дикий риск следует распределениям с толстым хвостом , например, Парето или степенному распределению , подвержен регрессии к хвосту (бесконечному среднему значению или дисперсии, что делает закон больших чисел недействительным или неэффективным), и, следовательно, его трудно или невозможно предсказать. Распространенной ошибкой в ​​оценке и управлении рисками является недооценка дикости риска, предполагая, что риск является умеренным, когда на самом деле он является диким, чего следует избегать, если оценка и управление рисками должны быть действительными и надежными, согласно Мандельброту.

Процесс

Согласно стандарту ISO 31000 «Управление рисками. Руководящие принципы», процесс управления рисками состоит из нескольких этапов, а именно: [3]

Установление контекста

Это включает в себя:

  1. наблюдение за контекстом (окружением организации)
    • социальная сфера управления рисками
    • личность и цели заинтересованных сторон
    • основа, на которой будут оцениваться риски, ограничения.
  2. определение рамок для деятельности и повестки дня для идентификации
  3. разработка анализа рисков, связанных с процессом
  4. смягчение или решение рисков с использованием имеющихся технологических, человеческих и организационных ресурсов

Идентификация

После установления контекста следующим шагом в процессе управления рисками является выявление потенциальных рисков. Риски связаны с событиями, которые при возникновении вызывают проблемы или выгоды. Таким образом, выявление рисков может начинаться с источника проблем и проблем конкурентов (выгоды) или с последствий проблемы.

Вот несколько примеров источников риска: заинтересованные стороны проекта, сотрудники компании или погода над аэропортом.

Когда известен либо источник, либо проблема, можно исследовать события, которые источник может вызвать, или события, которые могут привести к проблеме. Например: выход заинтересованных сторон из проекта может поставить под угрозу финансирование проекта; конфиденциальная информация может быть украдена сотрудниками даже в закрытой сети; удар молнии в самолет во время взлета может привести к немедленным жертвам для всех людей на борту.

Выбранный метод идентификации рисков может зависеть от культуры, отраслевой практики и соответствия. Методы идентификации формируются шаблонами или разработкой шаблонов для идентификации источника, проблемы или события. Распространенные методы идентификации рисков:

Оценка

После того, как риски идентифицированы, их необходимо оценить с точки зрения потенциальной серьезности воздействия (обычно негативного воздействия, такого как ущерб или потеря) и вероятности возникновения. Эти величины могут быть либо простыми для измерения, в случае стоимости утраченного здания, либо не поддающимися точному определению в случае маловероятного события, вероятность возникновения которого неизвестна. Поэтому в процессе оценки крайне важно принимать наиболее обоснованные решения, чтобы правильно расставить приоритеты при реализации плана управления рисками .

Даже краткосрочное положительное улучшение может иметь долгосрочные негативные последствия. Возьмем пример с «магистралью». Шоссе расширяется, чтобы пропустить больше трафика. Большая пропускная способность приводит к большему развитию в районах, окружающих улучшенную пропускную способность. Со временем трафик увеличивается, чтобы заполнить имеющуюся пропускную способность. Таким образом, магистрали должны расширяться в, казалось бы, бесконечных циклах. Существует много других инженерных примеров, когда расширенная пропускная способность (для выполнения любой функции) вскоре заполняется возросшим спросом. Поскольку расширение имеет свою цену, результирующий рост может стать неустойчивым без прогнозирования и управления.

Основная трудность оценки риска заключается в определении частоты возникновения, поскольку статистическая информация недоступна по всем видам прошлых инцидентов и особенно скудна в случае катастрофических событий просто из-за их нечастости. Кроме того, оценка серьезности последствий (воздействия) часто бывает довольно сложной для нематериальных активов. Оценка активов — еще один вопрос, который необходимо решить. Таким образом, наиболее обоснованные мнения и доступная статистика являются основными источниками информации. Тем не менее, оценка риска должна предоставлять такую ​​информацию для руководителей высшего звена организации, чтобы основные риски были легко понятны и чтобы решения по управлению рисками могли быть приоритетными в рамках общих целей компании. Таким образом, было несколько теорий и попыток количественной оценки рисков. Существует множество различных формул риска, но, возможно, наиболее широко принятая формула для количественной оценки риска такова: «Частота (или вероятность) возникновения, умноженная на воздействие события, равна величине риска». [ неопределенно ]

Варианты риска

Меры по снижению риска обычно формулируются в соответствии с одним или несколькими из следующих основных вариантов риска:

  1. Разработайте новый бизнес-процесс с адекватными встроенными мерами контроля и сдерживания рисков с самого начала.
  2. Периодически переоценивайте риски, которые принимаются в текущих процессах как нормальная черта бизнес-операций, и корректируйте меры по их снижению.
  3. Передача рисков внешнему агентству (например, страховой компании)
  4. Полностью избегать рисков (например, закрывая определенную сферу бизнеса с высоким уровнем риска)

Более поздние исследования [17] показали, что финансовые выгоды от управления рисками в меньшей степени зависят от используемой формулы, но в большей степени от частоты и способа проведения оценки риска.

В бизнесе крайне важно уметь представлять результаты оценки рисков в финансовых, рыночных или плановых терминах. Роберт Кортни-младший (IBM, 1970) предложил формулу для представления рисков в финансовых терминах. Формула Кортни была принята в качестве официального метода анализа рисков для правительственных агентств США. Формула предлагает расчет ALE (годовой ожидаемый убыток) и сравнивает ожидаемую стоимость убытка с затратами на реализацию мер безопасности ( анализ затрат и выгод ).

Потенциальные методы лечения риска

После того, как риски выявлены и оценены, все методы управления рисками попадают в одну или несколько из этих четырех основных категорий: [18]

Идеальное использование этих стратегий контроля рисков может оказаться невозможным. Некоторые из них могут включать компромиссы, которые неприемлемы для организации или лица, принимающего решения по управлению рисками. Другой источник, из Министерства обороны США (см. ссылку), Университет оборонных закупок , называет эти категории ACAT, что означает Avoid, Control, Accept или Transfer. Такое использование аббревиатуры ACAT напоминает другую ACAT (для Acquisition Category), используемую в закупках оборонной промышленности США, в которой управление рисками играет важную роль в принятии решений и планировании.

Подобно рискам, возможности имеют определенные стратегии смягчения: использовать, делиться, улучшать, игнорировать.

Избегание риска

Это включает в себя невыполнение деятельности, которая может представлять риск. Отказ от покупки недвижимости или бизнеса, чтобы избежать юридической ответственности, является одним из таких примеров. Избегание полетов на самолете из-за страха угона . Избегание может показаться ответом на все риски, но избегание рисков также означает потерю потенциальной выгоды, которую могло бы дать принятие (сохранение) риска. Невхождение в бизнес, чтобы избежать риска потерь, также избегает возможности получения прибыли. Повышение регулирования рисков в больницах привело к избеганию лечения состояний с более высоким риском в пользу пациентов с более низким риском. [19]

Снижение риска

Снижение риска или «оптимизация» подразумевает снижение серьезности убытка или вероятности возникновения убытка. Например, спринклеры предназначены для тушения пожара , чтобы снизить риск убытка от пожара. Этот метод может привести к большему убытку от ущерба, причиненного водой, и поэтому может оказаться неподходящим. Системы пожаротушения на основе галона могут снизить этот риск, но их стоимость может оказаться непомерно высокой в ​​качестве стратегии .

Признавая, что риски могут быть положительными или отрицательными, оптимизация рисков означает нахождение баланса между отрицательным риском и выгодой от операции или деятельности; и между снижением риска и приложенными усилиями. Эффективно применяя стандарты управления Здоровьем, Безопасностью и Окружающей Средой (HSE), организации могут достичь приемлемых уровней остаточного риска . [20]

Современные методологии разработки ПО снижают риск, разрабатывая и поставляя ПО постепенно. Ранние методологии страдали от того, что они поставляли ПО только на заключительном этапе разработки; любые проблемы, возникавшие на ранних этапах, означали дорогостоящую переделку и часто ставили под угрозу весь проект. Разрабатывая итерациями, проекты ПО могут ограничить усилия, потраченные впустую, одной итерацией.

Аутсорсинг может быть примером стратегии распределения рисков, если аутсорсер может продемонстрировать более высокую способность управлять рисками или снижать их. [21] Например, компания может передать на аутсорсинг только разработку программного обеспечения, производство товаров длительного пользования или потребности в поддержке клиентов другой компании, занимаясь при этом управлением бизнесом самостоятельно. Таким образом, компания может больше сосредоточиться на развитии бизнеса, не беспокоясь так сильно о производственном процессе, управлении командой разработчиков или поиске физического местоположения для центра. Кроме того, внедрение элементов управления также может быть вариантом снижения риска. Элементы управления, которые либо обнаруживают причины нежелательных событий до возникновения последствий во время использования продукта, либо обнаруживают первопричины нежелательных сбоев, которых команда затем может избежать. Элементы управления могут быть сосредоточены на процессах управления или принятия решений. Все это может помочь принимать более обоснованные решения относительно риска. [22]

Распределение риска

Кратко определяется как «разделение с другой стороной бремени убытков или выгод от риска, а также мер по снижению риска».

Термин «передача риска» часто используется вместо «распределения риска» в ошибочном убеждении, что вы можете передать риск третьей стороне через страхование или аутсорсинг. На практике, если страховая компания или подрядчик обанкротятся или окажутся в суде, первоначальный риск, скорее всего, все равно вернется к первой стороне. Таким образом, в терминологии практиков и ученых покупка страхового договора часто описывается как «передача риска». Однако, технически говоря, покупатель договора, как правило, сохраняет юридическую ответственность за «переданные» убытки, что означает, что страхование можно точнее описать как пост-событийный компенсационный механизм. Например, полис страхования от телесных повреждений не передает риск автомобильной аварии страховой компании. Риск по-прежнему лежит на страхователе, а именно на человеке, который попал в аварию. Страховой полис просто предусматривает, что если произойдет авария (событие) с участием страхователя, то страхователю может быть выплачена некоторая компенсация, соразмерная страданиям/ущербу.

Методы управления рисками делятся на несколько категорий. Пулы удержания риска технически удерживают риск для группы, но его распределение по всей группе подразумевает передачу между отдельными членами группы. Это отличается от традиционного страхования тем, что никакие премии не обмениваются между членами группы заранее, а вместо этого убытки оцениваются для всех членов группы.

Удержание риска

Удержание риска подразумевает принятие убытка или выгоды от прибыли от риска при возникновении инцидента. Настоящее самострахование попадает в эту категорию. Удержание риска является жизнеспособной стратегией для небольших рисков, когда стоимость страхования от риска будет больше с течением времени, чем общие понесенные убытки. Все риски, которые не избегаются или не передаются, удерживаются по умолчанию. Это включает риски, которые настолько велики или катастрофичны, что либо их невозможно застраховать, либо премии будут невыполнимы. Война является примером, поскольку большая часть имущества и рисков не застрахована от войны, поэтому убытки, приписываемые войне, удерживаются страхователем. Также любые суммы потенциальных убытков (риска) сверх застрахованной суммы являются удерживаемым риском. Это также может быть приемлемым, если вероятность очень большого убытка мала или если стоимость страхования для больших сумм покрытия настолько велика, что это слишком сильно помешает целям организации.

План управления рисками

Выберите соответствующие средства контроля или контрмеры для смягчения каждого риска. Смягчение риска должно быть одобрено соответствующим уровнем руководства. Например, риск, касающийся имиджа организации, должен иметь решение высшего руководства, тогда как ИТ-менеджмент будет иметь полномочия принимать решения по рискам компьютерных вирусов.

План управления рисками должен предлагать применимые и эффективные средства контроля безопасности для управления рисками. Например, наблюдаемый высокий риск компьютерных вирусов может быть снижен путем приобретения и внедрения антивирусного программного обеспечения. Хороший план управления рисками должен содержать график внедрения контроля и ответственных лиц за эти действия. Существует четыре основных шага плана управления рисками, которые включают оценку угроз, оценку уязвимости, оценку воздействия и разработку стратегии снижения риска. [23]

Согласно ISO/IEC 27001 , этап, следующий сразу за завершением фазы оценки риска , состоит из подготовки Плана обработки риска, который должен документировать решения о том, как каждый из выявленных рисков должен быть обработан. Смягчение рисков часто означает выбор средств контроля безопасности , которые должны быть задокументированы в Заявлении о применимости, в котором указано, какие конкретные цели контроля и средства контроля из стандарта были выбраны и почему.

Выполнение

Реализация следует всем запланированным методам смягчения влияния рисков. Приобретите страховые полисы для рисков, которые было решено передать страховщику, избегайте всех рисков, которых можно избежать, не жертвуя целями организации, уменьшайте другие и сохраняйте остальные.

Обзор и оценка плана

Первоначальные планы управления рисками никогда не будут идеальными. Практика, опыт и фактические результаты потерь потребуют внесения изменений в план и предоставят информацию, которая позволит принимать возможные различные решения в отношении рисков, с которыми приходится сталкиваться.

Результаты анализа рисков и планы управления должны периодически обновляться. Для этого есть две основные причины:

  1. оценить, применимы ли и эффективны ли ранее выбранные меры безопасности
  2. для оценки возможных изменений уровня риска в бизнес-среде. Например, информационные риски являются хорошим примером быстро меняющейся бизнес-среды.

Районы

Предприятие

Управление рисками предприятия (ERM) определяет риск как те возможные события или обстоятельства, которые могут иметь негативное влияние на рассматриваемое предприятие , где влияние может быть на само существование, ресурсы (человеческие и капитальные), продукты и услуги или клиентов предприятия, а также внешние воздействия на общество, рынки или окружающую среду. Здесь существуют различные определенные структуры , где каждый вероятный риск может иметь заранее сформулированный план для борьбы с его возможными последствиями (чтобы обеспечить непредвиденные обстоятельства , если риск станет обязательством ). Таким образом, менеджеры анализируют и контролируют как внутреннюю, так и внешнюю среду, с которой сталкивается предприятие, рассматривая бизнес-риски в целом и любое влияние на достижение предприятием своих стратегических целей . Таким образом, ERM пересекается с различными другими дисциплинами - управлением операционными рисками , управлением финансовыми рисками и т. д. - но отличается своей стратегической и долгосрочной направленностью. [24] Системы ERM обычно фокусируются на защите репутации, признавая ее значительную роль в комплексных стратегиях управления рисками. [25]

Финансы

Применительно к финансам управление рисками касается методов и практик измерения, мониторинга и контроля рыночного и кредитного риска (а также операционного риска ) на балансе компании , на кредитном риске банка или на стоимости портфеля управляющего фондом ; для обзора см. Финансы § Управление рисками .

Управление контрактными рисками

Концепция «управления контрактными рисками» подчеркивает использование методов управления рисками при развертывании контракта, т. е. управление рисками, которые принимаются при заключении контракта. Норвежский ученый Петри Кескитало определяет «управление контрактными рисками» как «практический, проактивный и систематический метод заключения контрактов, который использует планирование контрактов и управление для управления рисками, связанными с деловой активностью». [26] В статье Сэмюэля Грингарда, опубликованной в 2010 году, упоминаются два судебных дела в США, которые подчеркивают важность наличия стратегии для работы с рисками: [27]

Грингард рекомендует использовать стандартный для отрасли язык контрактов, чтобы максимально снизить риск, и полагаться на положения, которые использовались и подлежат устоявшемуся толкованию судом в течение ряда лет. [27]

Таможня

Управление таможенными рисками касается рисков, которые возникают в контексте международной торговли и оказывают влияние на безопасность, включая риск того, что незаконные наркотики и контрафактные товары могут пересекать границы, а также риск того, что грузы и их содержимое неправильно декларируются. [30] Европейский союз принял Рамочную систему управления таможенными рисками (CRMF), применимую на всей территории союза и во всех его государствах-членах , цели которой включают установление общего уровня защиты таможенного контроля и баланса между целями безопасного таможенного контроля и содействия законной торговле. [31] Два события, которые побудили Европейскую комиссию пересмотреть политику управления таможенными рисками в 2012-13 годах, были теракты 11 сентября 2001 года и трансатлантический заговор с использованием авиабомбы 2010 года, в котором участвовали посылки, отправляемые из Йемена в Соединенные Штаты , названный Комиссией «инцидентом октября 2010 года (Йемен)». [32]

Институты памяти(музеи, библиотеки и архивы)

Безопасность предприятия

ESRM — это подход к управлению программой безопасности, который связывает мероприятия по безопасности с миссией предприятия и бизнес-целями посредством методов управления рисками. Роль руководителя по безопасности в ESRM заключается в управлении рисками нанесения ущерба активам предприятия в партнерстве с руководителями предприятий, активы которых подвержены этим рискам. ESRM включает в себя обучение руководителей предприятий реалистичным последствиям выявленных рисков, представление потенциальных стратегий по смягчению этих последствий, а затем реализацию варианта, выбранного предприятием в соответствии с принятыми уровнями толерантности к бизнес-рискам [33]

Медицинские приборы

Для медицинских устройств управление рисками — это процесс выявления, оценки и снижения рисков, связанных с причинением вреда людям и ущербом имуществу или окружающей среде. Управление рисками является неотъемлемой частью проектирования и разработки медицинских устройств, производственных процессов и оценки опыта эксплуатации и применимо ко всем типам медицинских устройств. Доказательства его применения требуются большинством регулирующих органов, таких как FDA США . Управление рисками для медицинских устройств описано Международной организацией по стандартизации (ISO) в стандарте ISO 14971:2019 «Медицинские устройства — применение управления рисками к медицинским устройствам», стандарте безопасности продукции. Стандарт обеспечивает структуру процесса и связанные с ним требования к обязанностям управления, анализу и оценке рисков, контролю рисков и управлению рисками на протяжении жизненного цикла. Руководство по применению стандарта доступно через ISO/TR 24971:2020.

Европейская версия стандарта управления рисками была обновлена ​​в 2009 году и снова в 2012 году для ссылки на Директиву о медицинских приборах (MDD) и Директиву об активных имплантируемых медицинских приборах (AIMDD) в редакции 2007 года, а также на Директиву о медицинских приборах in vitro (IVDD). Требования EN 14971:2012 практически идентичны требованиям ISO 14971:2007. Различия включают три «(информационных)» Z-приложения, которые ссылаются на новые MDD, AIMDD и IVDD. Эти приложения указывают на отклонения в содержании, которые включают требование о максимально возможном снижении рисков и требование о том, чтобы риски были снижены за счет конструкции, а не маркировки на медицинском приборе (т. е. маркировка больше не может использоваться для снижения риска).

Типичные методы анализа и оценки рисков, принятые в отрасли медицинских приборов, включают анализ опасностей , анализ дерева неисправностей (FTA), анализ видов и последствий отказов (FMEA), исследование опасностей и работоспособности ( HAZOP ) и анализ прослеживаемости рисков для обеспечения внедрения и эффективности контроля рисков (т. е. отслеживания выявленных рисков в соответствии с требованиями к продукту, техническими условиями проекта, результатами проверки и валидации и т. д.). Для анализа FTA требуется программное обеспечение для построения диаграмм. Анализ FMEA можно выполнить с помощью программы для работы с электронными таблицами . Существуют также интегрированные решения по управлению рисками медицинских приборов.

В проекте руководства FDA представило еще один метод под названием «Дело о гарантии безопасности» для анализа обеспечения безопасности медицинских устройств. Дело о гарантии безопасности — это структурированное аргументированное рассуждение о системах, подходящих для ученых и инженеров, подкрепленное совокупностью доказательств, которое обеспечивает убедительное, понятное и обоснованное доказательство того, что система безопасна для данного применения в данной среде. С руководством ожидается, что дело о гарантии безопасности для критически важных для безопасности устройств (например, инфузионных устройств) будет представлено в рамках подачи заявки на предпродажную очистку, например, 510(k). В 2013 году FDA представило еще один проект руководства, ожидающий от производителей медицинских устройств предоставления информации об анализе рисков кибербезопасности.

Управление проектом

Управление рисками проекта должно рассматриваться на разных этапах приобретения. В начале проекта, продвижение технических разработок или угрозы, представляемые проектами конкурентов, могут вызвать оценку риска или угрозы и последующую оценку альтернатив (см. Анализ альтернатив ). После того, как решение принято, и проект начался, можно использовать более знакомые приложения для управления проектами: [34] [35] [36]

Мегапроекты (инфраструктура)

Мегапроекты (иногда также называемые «крупными программами») — это крупномасштабные инвестиционные проекты, обычно стоимостью более 1 миллиарда долларов за проект. Мегапроекты включают в себя крупные мосты, туннели, автомагистрали, железные дороги, аэропорты, морские порты, электростанции, плотины, проекты по очистке сточных вод, схемы защиты прибрежных территорий от наводнений, проекты по добыче нефти и природного газа, общественные здания, системы информационных технологий, аэрокосмические проекты и оборонные системы. Было показано, что мегапроекты особенно рискованны с точки зрения финансов, безопасности, а также социальных и экологических последствий. Поэтому управление рисками особенно актуально для мегапроектов, и для такого управления рисками были разработаны специальные методы и специальное образование. [37]

Стихийные бедствия

Важно оценить риск в отношении стихийных бедствий, таких как наводнения , землетрясения и т. д. Результаты оценки риска стихийных бедствий имеют ценность при рассмотрении будущих затрат на ремонт, потерь от перерывов в работе и других простоев, воздействия на окружающую среду, расходов на страхование и предлагаемых затрат на снижение риска. [38] [39] Сендайская рамочная программа по снижению риска бедствий — это международное соглашение 2015 года, в котором установлены цели и задачи по снижению риска бедствий в ответ на стихийные бедствия. [40] В Давосе регулярно проводятся Международные конференции по стихийным бедствиям и рискам, на которых рассматриваются вопросы комплексного управления рисками.

Для оценки риска и управления рисками стихийных бедствий и других климатических явлений можно использовать несколько инструментов, включая геопространственное моделирование, ключевой компонент науки об изменении земель . Такое моделирование требует понимания географического распределения людей, а также способности рассчитывать вероятность возникновения стихийного бедствия.

Дикая природа

Управление рисками для людей и имущества в дикой природе и отдаленных природных зонах развивалось с ростом участия в отдыхе на открытом воздухе и снижением социальной терпимости к потерям. Организации, предоставляющие коммерческие возможности для отдыха на природе, теперь могут соответствовать национальным и международным стандартам консенсуса для обучения и оборудования, таким как ANSI /NASBLA 101-2017 (катание на лодках), [41] UIAA 152 (инструменты для ледолазания), [42] и European Norm 13089:2015 + A1:2015 (альпинистское снаряжение). [43] [44] Ассоциация экспериментального образования предлагает аккредитацию для программ приключений в дикой природе. [45] Конференция по управлению рисками в дикой природе предоставляет доступ к передовому опыту, а специализированные организации предоставляют консультации и обучение по управлению рисками в дикой природе. [46]

Текст «Безопасность на открытом воздухе – управление рисками для лидеров в области активного отдыха» [47] , опубликованный Советом по безопасности в горах Новой Зеландии, представляет собой взгляд на управление рисками в дикой природе с точки зрения Новой Зеландии, признавая ценность национального законодательства по безопасности на открытом воздухе и уделяя значительное внимание роли суждений и процессов принятия решений в управлении рисками в дикой природе.

Одной из популярных моделей оценки риска является модель оценки риска и управления безопасностью (RASM), разработанная Риком Кертисом, автором The Backpacker's Field Manual. [48] Формула для модели RASM: Риск = Вероятность несчастного случая × Тяжесть последствий. Модель RASM взвешивает отрицательный риск — потенциальный убыток, против положительного риска — потенциальный рост.

Информационные технологии

Риск в сфере ИТ — это риск, связанный с информационными технологиями. Это относительно новый термин, появившийся в связи с растущим пониманием того, что информационная безопасность — это всего лишь одна грань множества рисков, имеющих отношение к ИТ и процессам реального мира, которые она поддерживает. «Кибербезопасность тесно связана с развитием технологий. Она отстает лишь на время, достаточное для развития стимулов, таких как черный рынок, и обнаружения новых эксплойтов. Конца и края развитию технологий не видно, поэтому мы можем ожидать того же от кибербезопасности». [49]

Структура ISACA Risk IT связывает IT-риски с управлением рисками предприятия. Duty of Care Risk Analysis (DoCRA) оценивает риски и их меры предосторожности и учитывает интересы всех сторон, потенциально затронутых этими рисками. [50] Отчет Verizon Data Breach Investigations Report (DBIR) показывает, как организации могут использовать базу данных Veris Community Database (VCDB) для оценки риска. Используя методологию HALOCK в CIS RAM и данные из VCDB, специалисты могут определять вероятность угроз для своих отраслей.

Управление ИТ-рисками включает в себя « обработку инцидентов », план действий по борьбе с вторжениями, кибер-кражами, отказом в обслуживании, пожарами, наводнениями и другими событиями, связанными с безопасностью. Согласно Институту SANS , это шестиэтапный процесс: подготовка, идентификация, сдерживание, искоренение, восстановление и извлеченные уроки. [51]

Операции

Управление операционными рисками (ORM) — это надзор за операционными рисками , включая риск потерь в результате: неадекватных или неисправных внутренних процессов и систем; человеческих факторов; или внешних событий. Учитывая характер операций , ORM обычно является «непрерывным» процессом и будет включать постоянную оценку рисков, принятие решений о рисках и реализацию контроля рисков.

Нефть и природный газ

Для оффшорной нефтегазовой промышленности управление операционными рисками регулируется режимом обоснования безопасности во многих странах. Инструменты и методы идентификации опасностей и оценки рисков описаны в международном стандарте ISO 17776:2000, а такие организации, как IADC (Международная ассоциация подрядчиков по бурению), публикуют руководящие принципы по разработке кейсов по охране труда, технике безопасности и окружающей среде (HSE), которые основаны на стандарте ISO. Кроме того, государственные регулирующие органы часто ожидают диаграммных представлений опасных событий как части управления рисками в представленных кейсах по безопасности; они известны как диаграммы «галстук-бабочка» (см. Теория сетей в оценке рисков ). Этот метод также используется организациями и регулирующими органами в горнодобывающей промышленности, авиации, здравоохранении, обороне, промышленности и финансах.

Фармацевтический сектор

Принципы и инструменты управления рисками качества все чаще применяются к различным аспектам фармацевтических систем качества. Эти аспекты включают разработку, производство, распространение, инспекцию и процессы подачи/обзора на протяжении всего жизненного цикла лекарственных веществ, лекарственных продуктов, биологических и биотехнологических продуктов (включая использование сырья, растворителей, вспомогательных веществ, упаковочных и маркировочных материалов в лекарственных продуктах, биологических и биотехнологических продуктах). Управление рисками также применяется к оценке микробиологического загрязнения в отношении фармацевтических продуктов и чистых производственных сред. [52]

Цепочка поставок

Управление рисками цепочки поставок (SCRM) направлено на поддержание непрерывности цепочки поставок в случае возникновения сценариев или инцидентов, которые могут нарушить нормальный бизнес и, следовательно, прибыльность. Риски для цепочки поставок варьируются от повседневных до исключительных, включая непредсказуемые природные явления (такие как цунами и пандемии ) и контрафактную продукцию, и охватывают качество, безопасность, устойчивость и целостность продукции. Смягчение этих рисков может включать различные элементы бизнеса, включая логистику и кибербезопасность, а также сферы финансов и операций.

Информирование о рисках

Риск-коммуникация — это сложная междисциплинарная академическая область, которая является частью управления рисками и связана с такими областями, как кризисная коммуникация . Цель состоит в том, чтобы убедиться, что целевая аудитория понимает, как риски влияют на них или их сообщества, апеллируя к их ценностям. [53] [54]

Информирование о рисках особенно важно в обеспечении готовности к стихийным бедствиям , [55] общественном здравоохранении , [56] и подготовке к крупным глобальным катастрофическим рискам . [55] Например, воздействие изменения климата и климатического риска влияет на каждую часть общества, поэтому информирование о риске является важной практикой климатической коммуникации , чтобы общества могли планировать адаптацию к изменению климата . [57] Аналогичным образом, в профилактике пандемий понимание риска помогает сообществам остановить распространение болезней и улучшить ответные меры. [58]

Рисковая коммуникация имеет дело с возможными рисками и направлена ​​на повышение осведомленности об этих рисках, чтобы поощрять или убеждать изменить поведение для устранения угроз в долгосрочной перспективе. С другой стороны, кризисная коммуникация направлена ​​на повышение осведомленности о конкретном типе угрозы, ее масштабе, результатах и ​​конкретных видах поведения, которые следует принять для снижения угрозы. [59]

Информирование о рисках в сфере безопасности пищевых продуктов является частью структуры анализа рисков . Вместе с оценкой рисков и управлением рисками информирование о рисках направлено на снижение заболеваний пищевого происхождения . Информирование о рисках в сфере безопасности пищевых продуктов является обязательным видом деятельности для органов по безопасности пищевых продуктов [60] в странах, принявших Соглашение о применении санитарных и фитосанитарных мер .

Информирование о рисках существует и в меньших масштабах. Например, риски, связанные с личными медицинскими решениями, должны быть сообщены этому человеку вместе с его семьей. [61]

Смотрите также

Ссылки

  1. ^ ab Хаббард, Дуглас (2009). Провал управления рисками: почему он сломан и как его исправить . John Wiley & Sons. стр. 46. ISBN 9781119522034.
  2. ^ ab ISO 31073:2022 — Управление рисками — Словарь. Февраль 2022 г. Получено 17 июля 2024 г.
  3. ^ abc ISO 31000:2018 — Управление рисками — Руководящие принципы. Февраль 2018 г. Получено 17 июля 2024 г.
  4. ^ ISO 31000:2018 – Управление рисками – Практическое руководство (1-е изд.). ISO, UNIDO. 2021. ISBN 978-92-67-11233-6. Получено 17 декабря 2021 г. .
  5. ^ "Риск-менеджер" Общество по управлению человеческими ресурсами
  6. ^ «Кто такие аналитики рисков и менеджеры рисков?», Институт CFA
  7. ^ Дионн, Жорж (2013). «Управление рисками: история, определение и критика: управление рисками». Обзор управления рисками и страхования . 16 (2): 147–166. doi :10.1111/rmir.12016. S2CID  154679294.
  8. ^ "Восхождение риска". www.pmi.org . Получено 2021-12-13 .
  9. ^ "Фиксация цели в управлении рисками. Аргументы в пользу светлой стороны риска". Стефан Морков . 2021. Получено 13.12.2021 .
  10. ^ Морков, Стефан (2021). Управление положительной и отрицательной сложностью: разработка и валидация структуры управления сложностью ИТ-проекта. Университет KU Leuven. Доступно по адресу https://lirias.kuleuven.be/retrieve/637007
  11. ^ Мандельброт, Бенуа и Ричард Л. Хадсон (2008). (Неправильное) поведение рынков: фрактальный взгляд на риск, разорение и вознаграждение . Лондон: Profile Books. ISBN 9781846682629.
  12. ^ «Идентификация рисков» (PDF) . Мадридское сообщество. п. 3.
  13. ^ CMU/SEI-93-TR-6 Идентификация рисков на основе таксономии в индустрии программного обеспечения. Sei.cmu.edu. Получено 17.04.2012.
  14. ^ «Контрольный список систем управления рисками (общие пункты)» (PDF) . www.fsa.go.jpn .
  15. ^ Список распространенных уязвимостей и рисков. Cve.mitre.org. Получено 17.04.2012.
  16. ^ Крокфорд, Нил (1986). Введение в управление рисками (2-е изд.). Кембридж, Великобритания: Woodhead-Faulkner. стр. 18. ISBN 0-85941-332-2.
  17. ^ "Вопросы экзамена CRISC" . Получено 23 февраля 2018 г.
  18. ^ Дорфман, Марк С. (2007). Введение в управление рисками и страхование (9-е изд.). Энглвуд Клиффс, Нью-Джерси: Prentice Hall. ISBN 978-0-13-224227-1.
  19. ^ McGivern, Gerry; Fischer, Michael D. (1 февраля 2012 г.). «Реактивность и реакции на нормативную прозрачность в медицине, психотерапии и консультировании» (PDF) . Социальные науки и медицина . 74 (3): 289–296. doi :10.1016/j.socscimed.2011.09.035. PMID  22104085. Архивировано из оригинала (PDF) 21 апреля 2018 г. . Получено 20 апреля 2018 г. .
  20. ^ Руководство IADC по охране труда, технике безопасности и охране окружающей среды для мобильных морских буровых установок. Архивировано 03.05.2017 в Wayback Machine 3.2, раздел 4.7.
  21. ^ Roehrig, P (2006). «Ставка на управление для управления рисками аутсорсинга». Business Trends Quarterly . Архивировано из оригинала 2018-09-01 . Получено 2007-09-07 .
  22. ^ Шаши; Чентобелли, Пьера; Черкионе, Роберто; Эрц, Мириам (2020). «Управление устойчивостью цепочки поставок для реализации бизнес-стратегий и стратегий защиты окружающей среды». Бизнес-стратегия и окружающая среда . 29 (3): 1215–1246. doi :10.1002/bse.2428. ISSN  0964-4733. S2CID  213432044.
  23. ^ Снедакер, Сьюзен (2014). Планирование непрерывности бизнеса и восстановления после сбоев для ИТ-специалистов. Крис Рима (2-е изд.). Уолтем, Массачусетс: Syngress. ISBN 978-1-299-85332-4. OCLC  858657442.
  24. ^ Институт специалистов по управлению корпоративными рисками «Различие подходов ERM и ORM».
  25. ^ «Изъятие риска из управления рисками: целостный подход к управлению рисками предприятия». Стратегическое направление . 32 (5): 28–30. 2016-01-01. doi :10.1108/SD-02-2016-0030. ISSN  0258-0543.
  26. ^ Университет Тромсё, Управление контрактными рисками (C-RM), дата обращения 6 января 2021 г.
  27. ^ ab Greengard, S. (2010), Разница в деталях, Engineering Inc., сентябрь/октябрь 2010 г., страницы 13–15
  28. ^ UDC–UNIVERSAL DEVELOPMENT, LP, Встречный истец и ответчик, против CH2M HILL, Встречный ответчик и апеллянт, Апелляционный суд, Шестой округ, Калифорния, 15 января 2010 г., дата обращения 7 января 2021 г.
  29. Штат Флорида, Witt против La Gorce Country Club, Третий окружной апелляционный суд, 10 июня 2009 г., дата обращения 6 января 2021 г.
  30. ^ Европейская комиссия, Структура управления таможенными рисками (CRMF), дата обращения 28 марта 2023 г.
  31. ^ Европейская комиссия, Подробное управление таможенными рисками, дата обращения 28 марта 2023 г.
  32. ^ Европейская комиссия, Сообщение Комиссии Европейскому парламенту, Совету и Европейскому экономическому и социальному комитету об управлении таможенными рисками и безопасности цепочки поставок, COM(2012) 793 final, стр. 3, опубликовано 8 января 2013 г., по состоянию на 27 декабря 2023 г.
  33. ^ ASIS https://www.asisonline.org/publications--resources/news/blog/esrm-an-enduring-security-risk-model/
  34. ^ Лев Вирин и Майкл Трампер. Проектные решения: искусство и наука . (2007). Концепции управления. Вена. VA. ISBN 978-1-56726-217-9 
  35. ^ Лев Вирин и Майкл Трампер. ProjectThink: Почему хорошие менеджеры делают плохой выбор проектов . Gower Pub Co. ISBN 978-1409454984 
  36. ^ Питер Саймон и Дэвид Хиллсон, Практическое управление рисками: Методология ATOM (2012). Концепции управления. Вена, Вирджиния. ISBN 978-1567263664 
  37. ^ Оксфордский BT Центр управления основными программами
  38. ^ Берман, Алан. Создание успешного плана обеспечения непрерывности бизнеса. Журнал Business Insurance , 9 марта 2015 г. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
  39. ^ Крейг Тейлор; Эрик ВанМарк, ред. (2002). Приемлемые процессы риска: линии жизни и природные опасности. Рестон, Вирджиния: ASCE, TCLEE. ISBN 9780784406236. Архивировано из оригинала 2013-12-03.
  40. ^ Роулинг, Меган (2015-03-18). «Новый глобальный план действий на случай стихийных бедствий устанавливает цели по ограничению риска и потерь». Reuters . Архивировано из оригинала 2016-03-04 . Получено 2016-01-13 .
  41. ^ "Американский национальный стандарт ANSI/NASBLA 101-2017: Базовые знания о судоходстве — приводимые в движение человеком" (PDF) . Получено 01.11.2018 .
  42. ^ "UIAA Standard 152: Ice Tools" (PDF) . Архивировано из оригинала (PDF) 2020-08-20 . Получено 01.11.2018 .
  43. ^ "EN 13089 Альпинистское снаряжение. Ледовые инструменты. Требования безопасности и методы испытаний (включая поправку A1:2015)" . Получено 01.11.2018 .
  44. ^ "Ирландский стандарт ISEN 13089:2011+A1:2015 Альпинистское снаряжение. Ледовые инструменты. Требования безопасности и методы испытаний" (PDF) . Получено 01.11.2018 .
  45. ^ "Ассоциация экспериментального образования" . Получено 01.11.2018 .
  46. ^ "NOLS Risk Services" . Получено 2018-11-01 .
  47. ^ Haddock (2013). Безопасность на открытом воздухе: управление рисками для лидеров на открытом воздухе. Веллингтон, Новая Зеландия: Новозеландский совет по безопасности в горах. ISBN 9780908931309.
  48. ^ Шнайдер, Ари (23 мая 2018 г.). Лидерство и образование на открытом воздухе . ISBN 9781732348202.
  49. ^ Арнольд, Роб (2017). Кибербезопасность: бизнес-решение . Эскиз угрозы. стр. 4. ISBN 978-0692944158.
  50. ^ "Duty of Care Risk Analysis Standard (DoCRA)". DoCRA . Архивировано из оригинала 2018-08-14 . Получено 2018-08-22 .
  51. ^ Глоссарий терминов безопасности SANS Получено 13 ноября 2016 г.
  52. ^ Saghee, M; Sandle, T; Tidswell, E, ред. (2011). Микробиология и обеспечение стерильности в фармацевтических препаратах и ​​медицинских приборах (1-е изд.). Business Horizons. ISBN 978-8190646741.
  53. ^ Руководство по информированию о рисках — инструменты и методы. Центр общественного здравоохранения ВМС и корпуса морской пехоты
  54. ^ Понимание теории коммуникации риска: руководство для менеджеров по чрезвычайным ситуациям и коммуникаторов. Отчет в Отдел человеческих факторов/поведенческих наук, Директорат по науке и технологиям, Министерство внутренней безопасности США (май 2012 г.)
  55. ^ ab Rahman, Alfi; Munadi, Khairul (2019). «Сообщение о риске в повышении готовности к стихийным бедствиям: прагматичный пример подхода к информированию о риске стихийных бедствий на примере Smong Story». Серия конференций IOP: Науки о Земле и окружающей среде . 273 (1): 012040. Bibcode : 2019E&ES..273a2040R. doi : 10.1088/1755-1315/273/1/012040 . S2CID  199164028.
  56. ^ Мотарджеми, Ю.; Росс, Т. (2014-01-01), «Анализ риска: Информирование о рисках: Биологические опасности», в Мотарджеми, Ясмин (ред.), Энциклопедия безопасности пищевых продуктов , Уолтем: Academic Press, стр. 127–132, ISBN 978-0-12-378613-5, получено 2021-11-12
  57. ^ "Информирование о рисках в контексте изменения климата". weADAPT | Планирование, исследования и практика адаптации к изменению климата . 2011-03-25 . Получено 2021-11-12 .
  58. ^ «РИСКОВОЕ ИНФОРМИРОВАНИЕ СПАСАЕТ ЖИЗНИ И СРЕДСТВА К СУЩЕСТВОВАНИЮ. Рамочная программа готовности к пандемии гриппа» (PDF) . Всемирная организация здравоохранения. 2015.
  59. ^ РЕЙНОЛЬДС, БАРБАРА; СИГЕР, МЭТЬЮ В. (2005-02-23). ​​«Кризисная и чрезвычайная коммуникация риска как интегративная модель». Журнал коммуникаций в здравоохранении . 10 (1): 43–55. doi :10.1080/10810730590904571. ISSN  1081-0730. PMID  15764443. S2CID  16810613.
  60. ^ Каса, Дьюла; Ценки, Эстер; Сакош, Давид; Изсо, Текла (1 августа 2022 г.). «Эволюция информирования о рисках безопасности пищевых продуктов: модели и тенденции в прошлом и будущем». Пищевой контроль . 138 : 109025. doi : 10.1016/j.foodcont.2022.109025 . ISSN  0956-7135. S2CID  248223805.
  61. ^ Стивенсон, Мейбл; Тейлор, Брайан Дж. (2018-06-03). «Информирование о рисках при уходе за больными деменцией: семейные перспективы». Журнал исследований рисков . 21 (6): 692–709. doi :10.1080/13669877.2016.1235604. ISSN  1366-9877. S2CID  152134132.

Внешние ссылки