Тотальный риск-менеджмент
Шрифт:
6. Утвержденная шкала балльных оценок критичности отказов, содержащая три таблицы:
6.1) вероятность отказа – оценка в баллах;
6.2) тяжесть последствия – оценка в баллах;
6.3) вероятность обнаружения до проявления последствия – оценка в баллах.
7. Формы рабочих листов метода FMEA.
Необходимо также разработать и утвердить документ «Положение о порядке разработки, проведения мероприятий по снижению рисков и мониторинга результатов», описывающий порядок проведения мероприятий по снижению рисков и систему мониторинга состояния рисков. Перечень пунктов этого документа:
1) перечисление методов снижения рисков;
2) порядок выбора методов по снижению конкретного риска;
3) ответственность за
4) ответственность за мероприятия по снижению рисков;
5) форма отчетов по результатам мероприятий по снижению рисков.
Можно также включить эту информацию в стандарт предприятия.
Если считается, что отдельные объекты, процессы или стороны деятельности компании целесообразно подвергнуть стрессовому тестированию, тогда в отдельном документе нужно описать перечень этих объектов и процессов, моделируемые ситуации и методики. Это документ не для широкого круга пользователей, обычно этим занимается отдел управления рисками, привлекая квалифицированных специалистов предметной области.
На этом этапе уже нужно позаботиться о том, чтобы в должностные инструкции персонала компании включались обязанности, ответственность и права на доступ к информации из системы управления рисками. Например, начальник отдела должен нести ответственность за нереалистичную оценку величины рисков. Рядовой конструктор – за сокрытие информации об опасностях, которые связаны с его проектом. В то же время они должны быть достаточно информированы о тех целях работы и мероприятиях в области управления рисками, которые их касаются. Разумеется, они должны знать о текущем перечне и оценках состояния риска в своей области деятельности.
С информационной точки зрения систему управления рисками компании нужно развить до уровня, когда она уже содержит следующую информацию.
1. Заполненные рабочие формы анализа и мониторинга (их вид на этом этапе вы уже описали в нормативной и регламентирующей документации).
2. Схема предприятия или технической системы в виде набора источников риска.
3. Перечень рисков, содержащий по каждому риску примерно следующее:
3.1) наименование риска;
3.2) область и источник риска;
3.3) подразделение (лицо), ответственное за источники риска;
3.4) событие, возникающее при реализации риска;
3.5) последствие, к которому может привести событие;
3.6) наименование регламента или технического решения по устранению последствия;
3.7) выбранный метод по снижению риска;
3.8) мероприятия по снижению – уже проведенные (с указанием результата), проводимые и намечаемые;
3.9) установленные оценки рисков по методу FMEA с указанием метода их получения (экспертный, экспериментальный, статистический).
Распечатанный отдельно документ, содержащий информацию, приведенную в пп. 3.1–3.9, по одному риску, называется «карточка риска» и очень удобен при обсуждении конкретного риска на совещании или на встрече с персоналом подразделения.
4. Перечень инцидентов, для которых пока не удалось установить, какой риск к ним привел.
5. Отчетные формы системы менеджмента риска (их вид вы описали в нормативной и регламентирующей документации).
Примерно к этому моменту, если вы исполняете обязанности риск-менеджера либо руководите проектом внедрения, вы почувствуете, что пора все это автоматизировать, потому что вы тонете в информации. Именно теперь пора задуматься об автоматизации (см. конец подраздела 11.2).
Критерием жизнеспособности любой системы управления является регулярный обмен информацией между участниками.
ВАЖНО
Можно сказать, что система управления внедрена, когда ее участники самостоятельно начали наполнять ее информацией и получать из нее информацию. Важно, чтобы количество информации, которое участники должны поставлять в систему, было минимально необходимым
для поставленных целей.По малозначительным рискам достаточно проводить анализ раз в несколько месяцев либо раз в полугодие. Возможно, по каким-то опасностям достаточная статистическая база появляется только за годовые периоды. С другой стороны, значения некоторых рисков необходимо оценивать ежедневно. Регламентные периоды анализа и сбора информации – важнейший вопрос системы управления рисками.
Затраты на этом этапе могут быть весьма значительны. Придется обучить немалое число людей основам управления рисками. Большое количество сотрудников будут втянуты в работы на особенно трудном этапе первоначального сбора информации и налаживания документооборота. Отдел управления рисками на этом этапе потребует расширения. Наконец появится некоторая величина затрат на разработку или поиск и закупку программного обеспечения для системы.
Поэтому для руководителя такого проекта очень важно добиться нескольких крупных показательных успехов: нужно выделить несколько рисков, которые легко снизить, а результат просто оценить, например при помощи неких организационных или технических мероприятий снизить вероятность ошибочной загрузки продукции при комплектации заказов сбыта. Результат этих мероприятий можно наглядно оценить по количеству рекламаций потребителей и снижению транспортных расходов, в то же время анализ рисков в таких областях позволяет разработать эффективные мероприятия. Общая рекомендация для поиска таких процессов – длинная цепочка, в которой последовательно задействовано большое количество неквалифицированного, низкооплачиваемого персонала.
ВАЖНО
Критериями достижения задач второго этапа являются следующие факторы. Существует регламентированная система управления рисками, в которой идет обмен информацией между участниками. Проанализировано на наличие рисков большинство ключевых бизнес-процессов. Ведется мониторинг состояния рисков (и глобальных – на уровне предприятия, и конкретных рисков сбоев процессов, возникновения дефектов продукции на уровне большинства подразделений).
Информационная система управления рисками
Вопрос об архитектуре, перечне и источниках данных достаточно сложен, подробное рассмотрение не входит в задачи данной книги. Ограничимся кратким описанием.
Причинно-следственная модель риска (рис. 4.8.) предполагает архитектуру хранилища данных, примерно соответствующую той, которая представлена на рис. 11.1. Важно учесть также взаимосвязи с другими автоматизированными системами управления предприятием и хранилищами данных. Например, наиболее ценным источником сведений об инцидентах может стать CRM – система или хранилище данных юридического отдела о претензиях и рекламациях. Хранение информации о мероприятиях и работах, проводимых для управления рисками, можно производить в системе управления основными фондами, техническим обслуживанием и ремонтами (EAM-системе).
Рис. 11.1 . Архитектура хранилища данных
11.3. Третий этап проекта – система ТРМ в действии
Третий этап должен поменять взгляд компании на риски, свойственные ее области деятельности и бизнес-процессам. Это не период механического развития и расширения системы управления рисками.
ВАЖНО
В начале этого этапа руководитель компании может с удовлетворением сказать: «Мы хорошо вооружены против рисков и опасностей». В конце этого этапа он должен сказать: «Хорошо, что существуют опасности и риски, которые охраняют наш бизнес и дают нам инструмент улучшения».