Аппетит к риску

Тип риска, на который организация готова пойти

Риск-аппетит — это уровень риска , который организация готова принять для достижения своих целей, ^[1] прежде чем действия будут сочтены необходимыми для снижения риска. Он представляет собой баланс между потенциальными преимуществами инноваций и угрозами , которые неизбежно несут изменения. Эта концепция помогает направлять подход организации к управлению рисками . Риск-аппетит учитывается в критериях риска организации , используемых для оценки риска . ^[2]

Определение

ISO 31000 определяет готовность к риску как «количество и тип риска, который организация готова принять или сохранить». ^[3]

Риск-аппетит обременен непоследовательными или двусмысленными определениями, но тщательные исследования управления рисками помогли исправить отсутствие консенсуса. ^[4] Оставшаяся часть этого раздела сравнивает стандартизированное определение риск-аппетита с другими связанными терминами.

Порог риска

Поскольку готовность к риску можно разделить на уровни риска, порог риска можно определить как верхний предел готовности к риску. ^[5] Порог риска также можно определить как максимальное воздействие ^[6], после которого необходимо лечение риска (т. е. действия по снижению риска).

Термин «аппетит к риску» часто используется двусмысленно, подразумевая либо все уровни риска ниже порогового значения, либо только пороговый уровень.

Отношение к риску

Отношение к риску — это подход организации к риску (оценка и, в конечном итоге, преследование, удержание, принятие или отказ от него). ^[7] Аппетит к риску — это величина и тип риска, который организация готова преследовать, удерживать или принимать.

Согласно модели готовности к риску и отношения к риску (RARA), эти две концепции «выступают в качестве посредников между широким спектром входных данных и ключевых результатов», что помогает в принятии решений . Готовность к риску выражается в виде пороговых значений риска, тогда как отношение к риску влияет на выбор пороговых значений риска. ^[4]

Толерантность к риску

В то время как аппетит к риску — это то, какой риск организация готова взять на себя, толерантность к риску — это то, какой риск организация способна взять на себя. Таким образом, порог риска организации всегда ниже или равен ее толерантности к риску. ^[5] Подверженность, превышающая предел толерантности к риску (не путать с порогом риска), иногда называют «неприемлемым риском», поскольку она не проходит уровень принятия риска ^[8] . ^[9]

В качестве простого примера рассмотрим организацию, которая готова просить кредит в размере 50 000 долларов, но может запросить и 100 000 долларов. В этом контексте 50 000 долларов и 100 000 долларов являются уровнями риска; первый является порогом, последний является допуском — можно было бы выделить каждую группу в 10 000 долларов (менее 50 000 долларов) как разную степень готовности к риску. Кредит в размере более 100 000 долларов (или несколько кредитов, суммирующихся в одном и том же, т. е. несколько рисков) считается неприемлемым риском. Этот пример сочетает качественное и количественное измерение риска.

Управление рисками

Часто возникает путаница между управлением рисками и аппетитом к риску , ^{[ требуется ссылка ]} со строгостью первого, теперь восстанавливающей некоторые из своих утраченных позиций из-за неопределенности последнего. При правильном выведении аппетит к риску является следствием строгого анализа управления рисками, а не предшественником. Простые методы управления рисками имеют дело с воздействием опасных событий, но это игнорирует возможность побочных эффектов плохого результата, например, технического банкротства. Количество, которое может быть поставлено под риск, зависит от доступного покрытия в случае убытка, и надлежащий анализ учитывает это. «Аппетит» логически вытекает из этого анализа. Например, организация должна быть «жаждущей риска», если у нее более чем достаточно покрытия по сравнению с ее конкурентами, и, следовательно, должна иметь возможность получать большую прибыль на рынке от высокорисковых предприятий.

Измерение

Качественный

Ниже представлена ​​одна из возможных качественных моделей склонности к риску (то есть уровней риска ^[10] ), которую может принять бизнес, чтобы обеспечить ответ на риск, пропорциональный целям его бизнеса. ^{[11] [12]}

• Отрицательное : Избегание риска и неопределенности является ключевой целью организации.
• Минимальный : предпочтение сверхбезопасным вариантам с низким риском, которые могут принести лишь ограниченную выгоду.
• Осторожность : предпочтение безопасным вариантам с низкой степенью риска и ограниченным потенциалом вознаграждения.
• Открытость : готовность рассмотреть все возможные варианты и выбрать тот, который с наибольшей вероятностью приведет к успешной поставке, а также обеспечить приемлемый уровень вознаграждения и соотношение цены и качества.
• Голодный : стремится быть новатором и выбирать варианты, предлагающие потенциально более высокую выгоду для бизнеса, несмотря на больший неотъемлемый риск.

Более сложный подход может иметь несколько измерений риска, например, матрицу риска .

Соответствующая модель может различаться в разных организациях, при этом различные подразделения бизнеса принимают аппетит, отражающий их конкретную роль, при этом общая структура аппетита к риску обеспечивает согласованность.

Количественный

Точное (количественное) измерение не всегда возможно, и готовность к риску иногда определяется широким заявлением о подходе или качественными категориями. Организация может иметь готовность к некоторым типам риска и быть нерасположенной к другим, в зависимости от контекста и потенциальных потерь или выгод.

Однако часто можно разработать меры для различных категорий риска. Например, это может помочь проекту узнать, какой уровень задержки или финансовых потерь ему разрешено нести. Если у организации есть стандартные меры для определения воздействия и вероятности рисков, это может быть использовано для определения максимально допустимого уровня риска, прежде чем следует предпринять действия по его снижению. ^[13]

Выполнение

В некоторых организационных контекстах совет директоров отвечает за установление аппетита к риску организации. В Великобритании Совет по финансовой отчетности утверждает: «Совет определяет характер и масштаб существенных рисков, которые компания готова принять». ^[14] Соответствующий уровень будет зависеть от характера выполняемой работы и преследуемых целей. Например, когда общественная безопасность имеет решающее значение (например, эксплуатация атомной электростанции), аппетит будет, как правило, низким, в то время как для инновационного проекта (например, ранняя разработка инновационной компьютерной программы) он может быть очень высоким, с принятием краткосрочных неудач, которые могут проложить путь к долгосрочному успеху.

В других контекстах, как только высшее руководство установило общие цели и ожидания, которые объединяют вклад всех заинтересованных сторон и обязательства организации, принятие решений затем делегируется уполномоченным должностным лицам . ^[15] Эти должностные лица уполномочены принимать решения о принятии риска при различных пороговых значениях критериев принятия риска; различные критерии принятия могут потребовать, чтобы более высокие уровни руководства были уполномочены на принятие. ^[16]

Цель и преимущества

Определяя свой аппетит к риску, организация может прийти к соответствующему балансу между неконтролируемыми инновациями и чрезмерной осторожностью. Это может направлять людей на допустимый уровень риска и поощрять единообразие подхода в организации.

Определенные приемлемые уровни риска также означают, что ресурсы не тратятся на дальнейшее снижение рисков, которые уже находятся на приемлемом уровне.

Основные направления

В литературе выделяют шесть основных направлений склонности к риску:

1. финансовый
2. здоровье
3. рекреационный
4. этический
5. социальный
6. информация

Смотрите также

• Управление рисками предприятия
• Анализ риска

Ссылки

1. результат, который должен быть достигнут

   Примечание 1: Цель может быть стратегической, тактической или оперативной.

   Примечание 2: Цели могут относиться к различным дисциплинам (например, финансам, охране труда и технике безопасности, а также целям в области охраны окружающей среды) и могут применяться на разных уровнях (например, стратегическом, общеорганизационном, проектном, продуктовом и процессном).

   Примечание 3: Цель может быть выражена другими способами, например, как предполагаемый результат, цель, операционный критерий, как цель системы управления или путем использования других слов со схожим значением (например, цель, задача, задача).

   ISO 31073:2022 — Управление рисками — Словарь — Цель.
2. "6.3.4 Определение критериев риска". ISO 31000:2018 — Управление рисками — Руководящие принципы.
3. ISO 31073:2022 — Управление рисками — Словарь — аппетит к риску . Получено 17 июля 2024 г.
4. Hillson, David; Murray-Webster, Ruth. «Использование склонности к риску и отношения к риску для поддержки надлежащего принятия риска: новая таксономия и модель». Журнал управления проектами, программами и портфелями . 2 (1). doi :10.5130/pppm.v2i1.2188 . Получено 17 июля 2024 г.
5. "Cybersecurity Materiality & Risk Management". ComplianceForge . Получено 17 июля 2024 г.

6. степень, в которой организация и/или заинтересованная сторона подвержены событию

   ISO 31073:2022 — Управление рисками — Словарь — воздействие . Получено 16 июля 2024 г. .
7. ISO 31073:2022 — Управление рисками — Словарь — Отношение к риску . Получено 16 июля 2024 г.

8. осознанное решение пойти на определенный риск

   Примечание 1: Принятие риска может произойти без обработки риска или в процессе обработки риска.

   Примечание 2: Принятые риски подлежат мониторингу и проверке.

   ISO 31073:2022 — Управление рисками — Словарь — Принятие риска . Получено 17 июля 2024 г. .
9. Пратт, Мэри (сентябрь 2023 г.). «Что такое профиль риска?». TechTarget . Получено 17 июля 2024 г.

10. величина риска или комбинации рисков, выраженная через совокупность последствий и их вероятность

    ISO 31073:2022 — Управление рисками — Словарь — уровень риска . Получено 16 июля 2024 г. .
11. Размышления о риске. Управление склонностью к риску: практическое руководство. Ноябрь 2006 г. Казначейство Ее Величества , стр. 12.
12. Совет финансовых директоров; Совет по улучшению производительности (28 ноября 2022 г.). "Playbook: Enterprise Risk Management (ERM) for the US Federal Government" (PDF) . Office of Shared Solutions and Performance Improvement of the General Services Administration . стр. 31. Получено 16 июля 2024 г.
13. Хассани, Б.К. (2015). «Склонность к риску на практике: Vulgaris Mathematica». Журнал IUP по финансовому управлению рисками . 12 (1): 7–22. SSRN  2672757.
14. "Guidance on Board Effectiveness" (PDF) . FEC . Получено 2 июля 2019 г. .
15. Joint Task Force (декабрь 2018 г.). "SP 800-37 Rev. 2: Risk Management Framework for Information Systems and Organizations". NIST Information Technology Laboratory. стр. 33. Получено 16 июля 2024 г.
16. ISO/IEC 27005:2022 — Информационная безопасность, кибербезопасность и защита конфиденциальности — Руководство по управлению рисками информационной безопасности (4-е изд.). С. 11.