Ідентифікація ризику як інструмент забезпечення економічної безпеки за ризик-орієнтованого підходу до управління на підприємстві

2. Ідентифікація джерел ризиків може проводитись з використанням ряду методів для виявлення невизначеностей, що можуть вплинути на цілі підприємства. Джерелом ризику є елемент, що сам або в комбінації з іншими може призвести до ризику. Усі джерела ризиків, деструктивні фактори, причини та події повинні бути визначені підприємством задля формування повного переліку ризиків на основі тих подій, які можуть відтермінувати та не дати можливості досягнення поставлених цілей. Під час проведення ідентифікації джерел ризиків необхідно враховувати наступні фактори та їх взаємозв'язок між собою: метрі альні та нематеріальні джерела ризиків, причини та події, загрози та можливості, слабкі сторони та небезпеки, зміна зовнішнього та внутрішнього контексту, індикатори виникнення ризиків, характер та цінність активів і ресурсів, наслідки та їх вплив на цілі, обмеженість знань та достовірності інформації, вплив фактору часу, часові межі, упередження, припущення та точки зору стейкхолдерів.

3. Ідентифікація ризикових подій зорієнтована на виявлення подій, що можуть виникати одноразово або багаторазово, мають декілька причин та ряд наслідків; на події, що можуть бути як очікувані так і не очікувані. Ризикові події можуть виникати навіть від дій самого підприємства, таких як реструктуризація або придбання нового обладнання, технології та ін. Ризик може виникати від зовнішніх дій підприємства, таких як поглинання. Ризикова подія може бути повністю незалежною від діяльності підприємства, як наприклад стихійне лихо або комп'ютерний вірус.

4. Ідентифікація діючих заходів контролю передбачає виявлення існуючого контролю в галузі безпеки. До визначення наявних заходів з контролю необхідно задокументувати вже впроваджені заходи, а у процесі роботи підприємство повинно визначити існуючі та заплановані заходи контролю. У подальшому слід скласти перелік усіх існуючих та планованих заходів контролю, їх реалізації та статусу виконання. У випадку якщо певний вид контролю є невиправданим або не враховує певний ризик тоді контроль безпеки необхідно ще раз перевірити задля визначення чи потрібне виключення або заміна більш прийнятним заходом контролю.

Ідентифікація існуючих заходів контролю повинна проводитись шляхом реалізації наступних дій:

- необхідно проаналізувати документи, які містять інформацію щодо впровадження/виконання планів обробки ризиків;

- перевірка виконання заходів повинна проводитись через отримання інформації у провідного ризик-менеджера та інших відповідальних осіб щодо заходів контролю, впроваджених для забезпечення результативності процесу управління ризиками;

- проведення аналізу на місті через виявлення впроваджених заходів контролю, їх результативність та ефективність; проводиться порівняння ймовірності виникнення ризику до впровадження політики управління ризиками та після;

- для перевірки та аналізу результатів аудиту використовується чек-лист для визначення дотримання рекомендацій ІБО 31000 [14].

Оцінити існуючі заходи контролю можна на основі рівнів зрілості (рис. 1).

5. Ідентифікація наслідків як останній етап ідентифікації ризиків передбачає визначення впливів на підприємство, що можуть бути викликані будь-яким сценарієм інциденту. В якості вхідних даних необхідно брати до уваги перелік активів, процесів, а також перелік загроз та вразливостей та їх вагомість. Далі визначаються наслідки для активів від втрати конфіденційності, цілісності та доступності, як результат - отримання переліку сценаріїв інцидентів із зазначенням їх наслідків, що відносяться до активів та бізнес- процесів. Пропонується наступна градація рівнів наслідків:

- невеликі - відсутність впливу на підприємство або невеликий збиток його репутації на короткий строк;

- помірні - не чинять прямої дії на підприємство або незначні порушення закону, що призводять до попередження або припису;

- значні - великі економічні втрати, які складно відновити, або значна втрата репутації, що викликана розголошенням конфіденційної інформації;

- катастрофічні - значні втрати, які неможливо відновити, або значні втрати репутації, що постійно чинять вплив на функціонування.

Рис. 1. Ідентифікація рівнів зрілості

Складено автором

Наслідки можуть бути визначеними або невизначеними, мати позитивний чи негативний прямий чи опосередкований вплив на реалізацію цілей. Також наслідки можуть бути описані якісно та кількісно.

Наведемо перелік потенційних наслідків, що найбільше зустрічаються у вітчизняній практиці промислових підприємств та впливають на цілісність, доступність, конфіденційність або на ці аспекти одночасно:

- порушення діяльності;

- фінансові втрати;

- втрата активу або його цінності;

- втрата клієнтів, постачальників;

- судові стягнення, переслідування;

- втрата конкурентної переваги;

- втрата прогресу в технології або техніці;

- втрата результативності або ефективності;

- порушення конфіденційності користувачів або клієнтів, постачальників;

- припинення обслуговування;

- нездатність надання послуги;

- втрата іміджу, репутації та довіри до бренду;

- порушення роботи зовнішніх стейкхолдерів (постачальників, замовників та ін.);

- порушення законів, нормативних актів, неможливість виконання юридичних обов'язків, комплаєнс;

- неможливість виконання договірних зобов'язань, штрафні санкції;

- порушення безпеки персоналу, користувачів.

Ідентифікація ризиків на підприємстві передбачає не фіксацію факту настання ризикової події, а виявлення можливості настання такої події, що несе собою переважно негативні наслідки. Таким чином, ідентифікація здійснюються завчасно, щоб мати змогу прийняти заходи щодо управління ризиками.

Ті ризики, що були ідентифіковані надалі підлягають оцінці. Процес оцінки ризиків проводиться з метою виділення критичних для підприємства ризиків. Вплив потенційних ризиків повинен оцінюватись в індивідуальному порядку або у взаємозв'язку з іншими елементами підприємства.

Сама ідентифікація ризику є першим кроком до зниження ризику, так як у процесі роботи над виявленням ризику є по суті неформальний контролем над ним. Це перш за все привертає до аналізованого ризику більшу увагу та обережність/зваженість у прийнятті рішень.

Не залежно від того які саме ризики ідентифікуються, для успішності процесу критичне значення має досвід та професіоналізм тих, хто братиме участь у даному процесі. Для якісного проведення ідентифікації ризиків недостатньо зібрати експертні висновки, оскільки у співробітників чи залучених експертів як правило досить різний досвід. Це може спричинити розпорошування думок з приводу переліку ризиків та їх оцінки, та стати перепоною для отримання основи прийняття подальших управлінських рішень. Формування експертної групи досить важливий крок, що потребує детального пропрацювання. Слід зазначити, що використання експертної оцінки доцільне як на етапі ідентифікації ризику так і на етапі його аналізу/оцінки. Даний підхід є широко вживаним у процесі управління ризиками у вітчизняній практиці. Більше детально експертний підхід буде проаналізований при розгляді методів оцінки ризиків.

Спеціалізованим підрозділом або професіоналом з ризик-менеджменту раз на рік повинна проводитись робота з масштабного виявлення факторів ризику на діяльність підприємства та безпосередньо самої ідентифікації ризиків. В теорії та практиці управління ризиками існує ряд різних методів ідентифікації ризиків (табл. 2). Слід зазначити, що деякі з методів використовуються як на етапі ідентифікації, так і в аналіз й оцінці ризиків.

Після проведення процедур ідентифікації необхідно перейти до аналізу ризиків, метою якого є розуміння характеру ризику та його характеристик, з врахуванням рівня ризику. Аналіз ризиків включає детальний розгляд невизначеностей, джерел ризику, наслідків, ймовірності, подій, сценаріїв, заходів контролю та їх результативності. Такий аналіз може проводитись з різним ступенем деталізації та складності залежно від цілей аналізу, наявності та надійності інформації, наявних ресурсів. Методи аналізу поділяють на якісні, кількісні та їх комбінації в залежності від обставин та передбачуваного використання [15].

Висновки та перспективи подальших розвідок. Ідентифікація ризиків на промисловому підприємстві є початковим етапом аналізу та оцінки ризиків. Дані отримані у процесі ідентифікації у подальшому використовуються для прийняття управлінських рішень з метою збереження сталості рівня економічної безпеки підприємства. Подані та проаналізовані методи ідентифікації ризиків є ефективними на різних етапах процесу ідентифікації. Особливо важливим аспектом при ідентифікації ризиків є дотримання рекомендацій, що висвітлені у міжнародних стандартах з ризик-менеджменту та інших міжнародних документах. Таким чином буде досягнено максимального результату, що у подальшому вплине на якість проведеного аналізу та оцінки ризиків, і як наслідок вірності прийнятого управлінського рішення.

Таблиця 2. Порівняльний аналіз методів ідентифікації ризиків

Список використаних джерел:

1. Вітлінський В. В. Аналіз, моделювання та управління економічними ризиками: Навч.-метод. посіб. для самост. вивч. дисц./В. В. Вітлінський, П. І. Верченко. -- К.: КНЕУ, 2000. -- 292 с.

2. Лук'янова В.В. Економічний ризик : [навч. посібник] / В.В. Лук'янова, Т.В. Головач. - К. : Академвидав, 2007. - 464 с.

3. Старостіна А. О., Кравченко В. А. Ризик-менеджмент: теорія та практика: Навч. посіб. - К.: ІВЦ “Видавництво «Політехніка»”, 2004. - 200 с.

4. Економічна безпека: навч. посіб. / За ред. З.С.Варналія. - К.: Знання, 2009. - 647 с.

5. Гнилицька Л.В. Обліково-аналітичне забезпечення економічної безпеки підприємства: [монографія] / Л.В. Гнилицька. - К.: КНЕУ, 2012. - 305 с.

6. Рамазанов С.К. Ризики, безпека, кризи і сталий розвиток в економіці: методології, моделі, методи управління та прийняття рішень : [монографія] / С.К. Рамазанов [та ін.]. - Луганськ : Ноулідж, 2012. - 947 с.

7. Штангрет А.М. Обліково-аналітичне забезпечення процесу гарантування економічної безпеки підприємства / А.М. Штангрет // Наукові записки Української академії друкарства. - 2013. - №2. - С.58-63.

8. Зачосова Н.В. Організація протидії ризикам інтерфейсній безпеці в системі економічної безпеки суб'єктів господарювання / Н.В. Зачосова, І.В. Горячківська, В.М. Недзельський // Інвестиції: практика та досвід. - 2016. - №14. - С.30-33.

9. Зачосова Н.В. Роль та значення ризик-менеджменту у системі фінансово-економічної безпеки суб'єктів господарювання / Н.В. Зачосова // Облік, аналіз і аудит в системі управління суб'єктів господарювання: вітчизняна практика та міжнародний досвід», 9-10 грудня 2011 року. Матеріали Міжнародної науково- практичної конференції. - Сімферополь: ДІАЙПІ, 2011. - 264 с. - С.87-90

10. Занора В.О. Класифікація ризиків виробничо-комерційної діяльності промислового підприємства / В.О. Занора, С.В. Войтко // Теоретичні і практичні аспекти економіки та інтелектуальної власності. - 2011. - № 21. - С. 84 - 89.

11. Занора В.О. Управління підприємствами: планування технологічних витрат, ризик-менеджмент, мотивування, прийняття управлінських рішень / Управління підприємствами: планування технологічних витрат, ризик-менеджмент, мотивування, прийняття управлінських рішень : монографія / В.О. Занора, С.В. Войтко. - Київ : КПІ ім. Ігоря Сікорського, Вид-во «Політехніка», 2017. - 224 с.

12. Ткачук Г.О. Ідентифікація економічних ризиків в обліково-аналітичній системі підприємства / Г.О. Ткачук // Економіка харчової промисловості. - 2015. - Том 7. - №4. - С. 80-88

13. ISO 55000:2014 Asset management, Geneva: International Organization for Standardization [Електронний ресурс]. - Режим доступу: https://www.iso.org/standard/55088.html

14. ISO 31000:2018 Risk management - Guidelines [Електронний ресурс]. - Режим доступу: https ://www. iso. org/standard/65694.html

15. David VALIS, Miroslav Koucky Selected overview of risk assessment techniques. Problemy eksploatacji. 4-2009 19-32 рр.

ризик економічна безпека контроль

1. Vitlinskyi, V.V. (2000). Analiz, modeliuvannia ta upravlinnia ekonomichnymy ryzykamy. Kyiv: KNEU (in Ukr).

2. Lukianova, V.V. (2007). Ekonomichnyi ryzyk. Kyiv: Akademvydav (in Ukr).

3. Starostina, A.O. & Kravchenko V.A. (2004). Ryzyk-menedzhment: teoriia ta praktyka. Kyiv: IVTs Vydavnytstvo Politekhnika (in Ukr).

4. Varnalii, Z. (2009). Ekonomichna bezpeka. Kiyv: Znannia, 647 (in Ukr).

5. Hnylytska, L. (2012). Oblikovo-analitychne zabezpechennia ekonomichnoi bezpeky pidpryiemstva. Kiyv: KNEU, 305 (in Ukr).

6. Ramazanov, S.K. (2012). Ryzyky, bezpeka, kryzy i stalyi rozvytok v ekonomitsi: metodolohii, modeli, metody upravlinnia tapryiniattia rishen. Luhansk : Noulidzh, 947 (in Ukr).

7. Shtanhret, A. (2013). Oblikovo-analitychne zabezpechennia protsesu harantuvannia ekonomichnoi bezpeky pidpryiemstva. [Accounting and analytical support of the process of guaranteeing the economic security of the enterprise] Naukovi Zapysky Ukrainskoi Akademii Drukarstva, (2), 58-63.

8. Zachosova, N.V. (2016). Orhanizatsiia protydii ryzykam interfeisnii bezpetsi v systemi ekonomichnoi bezpeky subiektiv hospodariuvannia. [Organization of counteraction to the risks of interface security in the system of economic security of economic entities] Investytsii: praktyka ta dosvid, 14, 30-33.

9. Zachosova, N.V. (2011). Rol ta znachennia ryzyk-menedzhmentu u systemi finansovo-ekonomichnoi bezpeky subiektiv hospodariuvannia. [The role and importance of risk management in the system of financial and economic security of economic entities] Oblik, analiz i audyt v systemi upravlinnia subiektiv hospodariuvannia: vitchyzniana praktyka ta mizhnarodnyi dosvid. 9-10 hrudnia 2011 roku. Materialy Mizhnarodnoi naukovo- praktychnoi konferentsii. - Simferopol: DIAIPI, 264.

10. Zanora, V.O. (2011). Klasyfikatsiia ryzykiv vyrobnycho-komertsiinoi diialnosti promyslovoho pidpryiemstva.

[Classification of risks of industrial and commercial activity of an industrial enterprise] Teoretychni i praktychni aspekty ekonomiky ta intelektualnoi vlasnosti, 21, 84-89.

11. Zanora, V.O. (2017). Upravlinnia pidpryiemstvamy: planuvannia tekhnolohichnykh vytrat, ryzyk-menedzhment, motyvuvannia, pryiniattia upravlinskykh rishen / Upravlinnia pidpryiemstvamy: planuvannia tekhnolohichnykh vytrat, ryzyk-menedzhment, motyvuvannia, pryiniattia upravlinskykh rishen. [Enterprise management: cost management planning, risk management, motivation, management decision making / Enterprise management: technological expense planning, risk management, motivation, management decision making] Kyiv : KPI im. Ihoria Sikorskoho, «Politekhnika», 224 (in Ukr).

12. Tkachuk, H.O. (2015). Identyfikatsiia ekonomichnykh ryzykiv v oblikovo-analitychnii systemi pidpryiemstva. [Identification of economic risks in the accounting and analytical system of enterprises]. Ekonomika kharchovoi promyslovosti, 7, 4, 80-88.

13. ISO 55000:2014 Asset management, Geneva: International Organization for Standardization.

14. ISO 31000:2018 Risk management - Guidelines.

15. Valis, D. & Koucky, M. (2009) Selected overview of risk assessment techniques. Problemy eksploatacji, 4, 19-32.

Размещено на Allbest.ru