Свойства безопасности
Риск-менеджмент – катализатор проактивного управления
Установление контекста
Идентификация рисков
Анализ рисков
Оценка рисков
Обработка рисков
Связи и консультации
Мониторинг и обзор
Вариант 2.
4.92M
Категория: МенеджментМенеджмент

Корпоративная система управления рисками

1.

Корпоративная система управления
рисками – инструмент для принятия
решения в стратегическом и
оперативном плане
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 1

2.

Риск и управление рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 2

3.

ОБЪЕКТЫ СИСТЕМЫ РИСК-МЕНЕДЖМЕНТА
Категории активов:
• Продукция
• Основное оборудование
• Вспомогательное оборудование
• Информация на электронном носителе
• Информация на бумажном носителе
• Компьютерная техника
• Серверное оборудование
• Сетевое оборудование
• Програмное обеспечение
• Системы контроля доступа
• Внутренние сервисы
• Внешние сервисы
• Здания и сооружения
• Персонал
• другие…
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 3

4.

КЛАССИФИКАЦИЯ АКТИВОВ
По категории процесса
ФИНАНСЫ
TÜV SÜD Ukraine LLC
КАЧЕСТВО
ИТ
ПРОДАЖИ
2011-02 / A.Dmitriev
slide 4

5.

КЛАССИФИКАЦИЯ АКТИВОВ
По физическому месту расположения
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 5

6. Свойства безопасности

Важные для бизнеса активы доступны
Активы
Только уполномоченные лица
получают доступ
TÜV SÜD Ukraine LLC
Активы в полном объеме
2011-02 / A.Dmitriev
slide 6

7.

Система безопасности
АКТИВЫ
УЯЗВИМОСТИ
УГРОЗЫ
TÜV SÜD Ukraine LLC
КАК
ЭФФЕКТИВНО
ПОСТРОИТЬ
ЗАЩИТУ ???
2011-02 / A.Dmitriev
slide 7

8.

ПРИМЕРЫ УГРОЗЫ
Что такое угроза?
«Это вероятность
того,
что произойдет
некое [плохое]
событие,
которое окажет
[негативное] влияние
на цели [вашего
бизнеса]»
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 8

9.

ПРИМЕРЫ УЯЗВИМОСТЕЙ
некорректность полученной информации для выполнения
оперативных бизнес-целей
недостаточная квалификация или недостаточный уровень контроля
ввода данных
невнимательность сотрудника планового отдела
некорректная интерпретация отделом маркетинга требований
заказчика
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 9

10.

ПРИМЕРЫ УЯЗВИМОСТИ
Что такое
уязвимость?
«Это вероятность
того,
что произойдет
некое [плохое]
событие,
которое окажет
[негативное]
влияние
на цели [вашего
бизнеса]»
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 10

11.

ВЛИЯНИЕ НА БИЗНЕС
Что такое влияние
на бизнес?
«Это вероятность
того,
что произойдет
некое [плохое]
событие,
которое окажет
[негативное]
влияние
на цели [вашего
бизнеса]»
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 11

12.

ПРИМЕРЫ РИСКОВ
падение уровня продаж вследствие появления нового конкурента
изменение предпочтений потребителя вследствие роста
благосостояния населения
уменьшение мощностей производства из-за выхода из строя
основного станка
невыполнение производственного плана вследствие ошибки при
планировании
выпуск некачественной продукции вследствие некомпетентности
персонала
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 12

13.

Определение риска
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 13

14.

Риск и управление рисками
Что такое риск?
ISO 31000:2009 определяет риск так:
“Влияние неопределенности на цели”
Отклонения от
ожидаемого положительные и /
или негативные
Дефицит
информации о
событии, его
последствии, или
вероятность
Что может произойти?
На сколько вероятно?
Цели, связанные с
финансами,
безопасностью,
качеством, окружающей
средой и др.
14
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 14

15.

Риск менеджмент
Что такое РИСК?
«Это вероятность того,
что произойдет
некое [плохое] событие,
которое окажет
[негативное] влияние
на цели [вашего бизнеса]»
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 15

16.

Риск-менеджмент
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 16

17.

ФАКТОРЫ РИСКА
• чрезмерная загруженность, вызывающая усталость
• сохранение авторитарного стиля управления, ограничивающего
участие в управлении младших по должности
• часто встречающиеся недостаток опыта и низкая
профессиональная квалификация
• отсутствие мотивации и приверженности делу
• значительное «давление» в форме посещения множественными
контролирующими органами
• чрезмерный информационный объем и объем требований, и, как
следствие, недостаток времени, чтобы сосредоточиться на
выполняемой основной работе
• чрезмерное количество «бумажной» работы
• отсутствие хорошей социальной среды
• трудности в отношениях между членами коллектива
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 17

18.

Риск менеджмент
Система управления рисками позволяет получать ответы на следующие
вопросы:
• Какие риски в данный момент угрожают нашим бизнес-процессам?
• На каком направлении информационной безопасности требуется
сосредоточить внимание?
• Сколько времени и средств можно потратить на данное
техническое решение для защиты информации?
Риск – это комбинация вероятности события и его последствий
(ISO/IEC Guide 73)
R = S * E (R = Риск, S = Размер ущерба, E = Вероятность события)
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 18

19. Риск-менеджмент – катализатор проактивного управления

Концентрация внимания руководства на рисках при принятии решений в
настоящем – превентивная защита от возникновения проблем в будущем.
Риски
Проактивное
управление
Проблема
Решение
Решение
Проблема
Проблема
Проблема
Проблема
Реактивное
управление
Решение
Решение
Проблема
Проблема
Проблема
Настоящее
TÜV SÜD Ukraine LLC
Будущее
2011-02 / A.Dmitriev
slide 19

20.

ПРОАКТИВНЫЕ И РЕАКТИВНЫЕ МЕРЫ
СНИЖЕНИЕ УРОВНЯ
УГРОЗ
эффект
СНИЖЕНИЕ УРОВНЯ
УЯЗВИМОСТЕЙ
СНИЖЕНИЕ
ВЛИЯНИЯ НА БИЗНЕС
ОБНАРУЖЕНИЕ
ВОСCТАНОВЛЕНИЕ
стоимость
ПРОАКТИВНЫЕ
TÜV SÜD Ukraine LLC
РЕАКТИВНЫЕ
2011-02 / A.Dmitriev
slide 20

21.

Психология восприятия риска
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 21

22.

Психология восприятия риска
Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
Безопасность основана не только на вероятности
различных рисков и эффективности различных контрмер
(реальность), но и на ощущениях
Ощущения зависят от психологических реакций на риски
и контрмеры
Чего вы больше опасаетесь – попасть в
авиакатастрофу или автоаварию?
Что вероятнее – пасть жертвой террористов или
погибнуть на дороге?
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 22

23.

Реальность и ощущение безопасности
Число погибших в
авиакатастрофах в России
в 2008 году – 139 человек
1980 – 1989 гг. – в СССР
2624 жертвы
авиакатастроф
Трагедия 11 сентября в
США унесла жизни 2973
человек
TÜV SÜD Ukraine LLC
Число жертв автоаварий в
России – около 100 человек
ежедневно
В мире 1,2 млн. жертв в год,
20-50 млн. получают травмы
От отравления пищей в США
ежегодно умирают 5000
человек
2011-02 / A.Dmitriev
slide 23

24.

Основные ошибки восприятия
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 24

25.

ISO 31000
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 25

26.

РИСК-МЕНЕДЖМЕНТ
ISO 31000:2009
Риск-менеджмент.
Принципы и руководство по внедрению
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 26

27.

Схема системы риск-менеджмента
I. Принципы
TÜV SÜD Ukraine LLC
II. Система
III. Процесс
2011-02 / A.Dmitriev
slide 27

28.

I. Принципы управления рисками (ISO 31000:2009)
1. Управление рисками создаёт и добавляет ценность
2. Управление рисками является неотъемлемой часть всех
организационных процессов
3. Управление рисками является часть процесса принятия решений
4. Управление рисками вносит ясность в неопределённость
5. Управление рисками характеризуется методичностью,
структурностью и своевременностью.
6. Управление рисками основано на наилучшей имеющейся
информации
7. Управление рисками является оптимальным
8. Управление рисками учитывает человеческие и организационные
факторы
9. Управление рисками является прозрачным и содержательным
10. Управление рисками является динамичным, повторяющимся и
чувствительным к изменению
11. Управление рисками способствует постоянному улучшению
организации
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 28

29.

II. Система управления рисками (ISO 31000:2009)
4.3 Проектирование системы
5.3.1 Понимание организации и ее контекста
5.3.2 Политика риск-менеджмента
5.3.3 Интеграция в процессы организации
5.3.4 Ответственность
5.3.5 Ресурсы
5.3.6 Установка внутренних коммуникаций и механизма отчетности
5.3.7 Установка внешних коммуникаций и механизма отчетности
4.6 Постоянное улучшение системы
4.4 Внедрение риск-менеджмента
4.4.1 Внедрение системы
4.4.2 Внедрение процесса риск-менеджмента
4.5 Мониторинг и пересмотр системы
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 29

30.

Управление рисками | Процесс
Идентификация рисков
Анализ рисков
Оценка рисков
Мониторинг и обзор
Связи и консультации
Установление контекста
Обработка рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 30

31. Установление контекста

Управление рисками
Установление контекста
Внутренний / оперативный контекст
Внутренний и оперативный контекст должен быть
определен в рамках подготовки к оценке рисков. Это
включает в себя понимание целей компании, целей
управления и организационной структуры, системы,
процессов, ресурсов, ключевых показателей
эффективности, и других факторов.
TÜV SÜD Ukraine LLC
Идентификация рисков
Анализ рисков
Оценка рисков
Мониторинг и обзор
Установление контекста
Связи и консультации
Установление контекста предполагает понимание и
оценку внешних связей, своей внутренней
организации, окружающей среды и рисков, связанных
с окружающей средой. Установление контекста также
помогает в установлении критериев оценки для
анализа риска с точки зрения его приемлемости.
Внешний / Стратегический контекст
До проведения оценки риска, важно понять, внешнюю
среду, в которой работает компания. Например, со
стратегической точки зрения, есть необходимость
рассмотреть бизнес, социальные, политические,
экономические, финансовые, конкурентные,
нормативно-правовые и культурные факторы.
Обработка рисков
2011-02 / A.Dmitriev
slide 31

32. Идентификация рисков

Управление рисками
Идентификация рисков
Идентификация рисков
Анализ рисков
Оценка рисков
Обработка рисков
Область
Определение
Безопасность
Нарушение состояния системы безопасности
Производство
Нарушение производственного процесса
Репутация
Потеря или нанесение вреда репутации
Финансы
Потеря финансовых средств
Качество
Снижение уровня качества продуктов или услуг
TÜV SÜD Ukraine LLC
Мониторинг и обзор
Категории риска и примеры для оперативных и
стратегических рисков могут быть полезными при
анализе рисков для выявления ключевых факторов и
скрытых причин, а также связей между различными
категориями риска и конкретными целями бизнеса.
Установление контекста
Связи и консультации
В таблице ниже приведен список категорий для выбора
направления по идентификации рисков и
предоставляет основу для организации и
представления результатов.
2011-02 / A.Dmitriev
slide 32

33. Анализ рисков

Управление рисками
Анализ рисков
TÜV SÜD Ukraine LLC
Идентификация рисков
Анализ рисков
Оценка рисков
Мониторинг и обзор
При оценке риска надо спросить - в какой степени
это событие будет препятствовать или влиять на
намеченные цели бизнеса и каковы последствия для
будущего? Или на сколько риск опасен для бизнеса?
Влияние на бизнес измеряется от незначительного
до катастрофического.
Установление контекста
Связи и консультации
Как только риск был определен важно рассмотреть
вероятность этого события. Другими словами: Какова
вероятность того, что установленный риск на самом
деле может произойти?
Это возможность или вероятность может быть очень
низкой или очень высокой.
Обработка рисков
2011-02 / A.Dmitriev
slide 33

34. Оценка рисков

Управление рисками
Оценка рисков
Оценка риска должна принимать во внимание
следующее:
•Важность деятельности
•Степень контроля над рисками
•Потенциальные и фактические потери, которые
возникают в результате риска
•Преимущества и возможности
Мониторинг и обзор
Приемлемый риск – это не обязательно всегда низкий
риск, но при этом может быть приемлемым.
Установление контекста
Связи и консультации
Следующим шагом в процессе управления рисками
является оценка соответствия риска приемлемому
или неприемлемому уровню.
Идентификация рисков
Анализ рисков
Оценка рисков
Обработка рисков
Основной вывод из оценки рисков - список приоритетных рисков для дальнейших действий.
Приоритеты должно быть логично определены на основе вероятности и серьезности
последствий. Важно отметить, что уровень доверия к этой оценке должен быть подтвержден
экспертным мнением. Уровень доверия будет зависеть от качества
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 34

35. Обработка рисков

Управление рисками
Обработка рисков
Идентификация рисков
Анализ рисков
Оценка рисков
Мониторинг и обзор
Установление контекста
Связи и консультации
Как только риск классифицируется как
неприемлемый, должна быть разработана стратегия
по обработке риска. Есть несколько вариантов для
обработки рисков.
•снижение рисков
•уклонение от рисков
•передача рисков
•принятие рисков
Обработка рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 35

36. Связи и консультации

Управление рисками
Связи и консультации
Связь риска и консультациями со всеми заинтересованными сторонами необходима для
поддержки управленческих решений по рискам и должны рассматриваться на каждом этапе.
Одним из основных условий для управления рисками является развитие процессов и
инструментов, которые поддерживают постоянные консультации и общение.
Идентификация рисков
Анализ рисков
Оценка рисков
Мониторинг и обзор
Связи и консультации
Установление контекста
Обработка рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 36

37. Мониторинг и обзор

Управление рисками
Мониторинг и обзор
Мониторинг и обзор
В ходе процесса обзора новых рисков может произойти
следующее:
•Существующие риски могут изменить свой рейтинг
•Риски могут исчезнуть
•Приоритеты рисков могут измениться
•Существующие меры могут не быть эффективными
Установление контекста
Связи и консультации
Постоянный мониторинг и оценка стратегии требуется
для системы управления рисками в связи с изменением
контекста или других факторов, которые могут оказать
влияние на предприятие:
Идентификация рисков
Анализ рисков
Оценка рисков
Обработка рисков
Результативность процесса
Описание
Превосходно
Стратегия соответствует рискам, критерий постоянно
ужесточается, высокие риски под полным контролем
Адекватно
Стратегия соответствует рискам, проводится мониторинг,
проводятся корректировки
Удовлетворительно
Стратегия соответствует рискам, но не реализуется в полном
объеме
Отрицательно
TÜV
SÜD Ukraine LLC
Стратегия не соответствует рискам или уровням рисков
2011-02
slide 37
/ A.Dmitriev

38.

Организационная структура
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 38

39.

Роли персонала в системе риск-менеджмента
Организационная структура системы
управления рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 39

40.

Этапы управления рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 40

41.

Этапы управления рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 41

42.

Этапы управления рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 42

43.

Этапы управления рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 43

44.

2.1. Идентификация активов
Вариант 1.
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 44

45. Вариант 2.

2.1. Идентификация активов
Вариант 2.
5
7
9
КТ12: Дата утверждения
заказа-спецификации
КТ13: Дата
формирования
технологической карты
КТ14: Дата
формирования плана
заказов
Руководство
3
Директор
Утверждение
заказа-спецификаци
и
Заказ-сп
ецифик
ация
утвержд
ен
Производственный
отдел
Начальник
Формирование
технологической
карты
Расчет
себесто
имости
TÜV SÜD Ukraine LLC
Заявка
9
Цех
Цех
Техноло
гическа
я карта
Начальник
План
заказов
Формирование
плана заказов
Заявка на
приобретен
ие
материалов
Заявка на
выдачу
бумаги
Отдел снабжения
Склад
Менеджер
Кладовщик
Приобретение
материалов
Выдача бумаги
Начальник
Формирование
Графика работ на
смену
График
работ
на
смену
4
Задание
на
выполн
ение
стор.
работ
Производственный
Сторонние
поставщики
отдел
Технолог
Формирование
Информация по
заявки на расчет
стоимости услуг
(2ч.)
2011-02 / A.Dmitriev
slide 45

46.

Формы для работы с рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 46

47.

2.2. Идентификация рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 47

48.

2.2. Идентификация рисков
Всем спасибо!
Сейчас подробно опишем
наши проблемы, просчитаем
риски и определим
Вышел закон о защите
программу работы
персональных
данных. Надо учесть!
Может обрушиться
стена в цеху ХХХ…
Цена на продукцию
может резко снизится!
Персонал не
знает
правила и
инструкции!
Каждый день фиксируем
поломку станка ХХХ…. В
какой-то момент может
выйти из строя на долгий
срок…
У нас много рисков,
связанных с персоналом.
Они очень разные…
Комитет по безопасности
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 48

49.

2.2. Идентификация рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 49

50.

2.3. Оценка рисков
Влияние вероятности возникновения на оценку рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 50

51.

2.3. Оценка рисков
Влияние ущерба на оценку рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 51

52.

2.3. Оценка рисков
Ранжирование и расчет рисков
Риск = Вероятность*Ущерб
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 52

53.

2.3. Оценка рисков
Отчет об анализе рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 53

54.

2.4. Ранжирование рисков
Сложная методика
=
финансовые потери предприятия
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 54

55.

2.4. Ранжирование рисков
Критерий принятия рисков:
Риск < 9 – Принимаем риск безоговорочно
Риск от 15 до 25 – Принимаем риск по решению Риск-менеджера
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 55

56.

Увеличение ущерба
Увеличение вероятности
Стандарт
Увеличение вероятности
TÜV SÜD Ukraine LLC
Увеличение ущерба
Любим рисковать
Увеличение ущерба
Увеличение ущерба
2.4. Ранжирование рисков
Боимся большого ущерба
Увеличение вероятности
Боимся больших рисков
Увеличение вероятности
2011-02 / A.Dmitriev
slide 56

57.

2.5. Выбор мер по обработке рисков
Что можно сделать с существующими рисками?
• Снижение Риска
• Избежание Риска
• Передача Риска (Разделение)
• Сохранение Риска (Принятие)
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 57

58.

2.5. Выбор мер по обработке рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 58

59.

2.6. Реализация плана по обработке рисков
Порядок проведения работ по обработке рисков
•Риск-менеджер предоставляет Генеральному директору на рассмотрение
«Предварительный план по обработке рисков».
•Генеральный директор, учитывая значения рисков и наличие ресурсов, определяет
приоритеты по реализации мер по обработке рисков и принимает решение о приемлемости
или неприемлемости предложенных мер.
•Риск-менеджер выдает задания участникам рабочей группы, а также другим специалистам
предприятия по уточнению и корректировке мер по обработке рисков.
•Риск-менеджер с учетом решений Генерального директора и результатами уточнений
готовит «План по обработке рисков».
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 59

60.

2.7. Принятие остаточных рисков
Приказ высшего руководства о принятии остаточных рисков
Высшее руководство принимает следующие риски
Риск 1 - Величина 10 - Причина 1
Риск 2 - Величина 17 - Причина 2
Риск 3 - Величина 3 - Причина 3
Генеральный директор ….
Дата
TÜV SÜD Ukraine LLC
Подпись
2011-02 / A.Dmitriev
slide 60

61.

2.8. Повторная оценка и пересмотр рисков
2.8.1. Повторная оценка рисков
По завершению работ по обработке определенного риска, но не позже,
чем через 30 дней.
2.8.2. Пересмотр рисков
•Один раз в год в обязательном порядке
•В течении 14 дней при значительном изменении структуры предприятия,
экономических показателей предприятия, по решению генерального
директора
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 61

62.

2.9. Повторная оценка и пересмотр рисков
Каждые 12 месяцев необходимо пересматривать все составные части
процесса управления рисками:
•Состав группы по управлению рисками
•Этапы и содержание этапов процесса управления рисками
•Критерий приемлемости рисков
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 62

63.

Формы для работы с рисками
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 63

64.

Большое спасибо!
Задавайте вопросы …
TÜV SÜD Ukraine LLC
2011-02 / A.Dmitriev
slide 64
English     Русский Правила