Любое предприятие, дело, кампания предполагает наличие определенных рисков, которые могут сказаться на итоговом результате их проведения. Реализация бизнес-стратегии подразумевает изменение прав, обязанностей и обязательств предпринимателей, возможные появления непредусмотренных и не применявшихся ранее процессов, а также прочие последствия.

Чтобы правильно выбрать комплекс действий по достижению результата деятельности, нужно учитывать возможное влияние побочных эффектов, чтобы задуманное мероприятие не потеряло смысл. Любая тактическая (стратегическая) схема должна перед применением подвергаться анализу рисков с целью минимизации последних.

Анализ рисков начинается с их оценки. Для этого необходимо выбрать методику оценки, которая должная удовлетворять требованиям безопасности определенного вида деятельности и правовым регуляторам этой деятельности.

Анализ рисков требует использования доступной информации с целью оценки вероятности наступления определенных событий и возможных масштабов их последствий.

Как правило, под рисками понимают негативные события и обстоятельства, к примеру, убытки при проведении венчурного предприятия, с серьезными последствиями и т.д. Тем не менее, анализ рисков помогает выявить и их потенциальные позитивные последствия. Он необходим для обнаружения будущих проблем и оценивания перспектив развития.

Анализ рисков проводится на количественном и качественном уровнях (методы анализа рисков выбираются индивидуально).

При исследуемым явлениям присваивают числовые (количественные) значения, применяют эмпирические данные. На данном уровне анализ носит предельно объективный и точный (для этого метода) характер.

Включает внутреннюю (инстинктивную) оценку складывающихся обстоятельств. На этом уровне допускается субъективность и связанные с ней сомнения.

Сравнивая данные два уровня анализа, следует более подробно остановиться все же на количественном. Его можно провести разными способами.

В детерминистическом подходе используются точечные оценки. Для того чтобы понять, какие могут быть итоги в отдельных случаях, разным событиям присваивают определенные значения. К примеру, в можно рассматривать такие варианты: наихудший (грядущие убытки), наилучший (будущая прибыль) и самый вероятный (умеренная, относительная прибыль).

В данном случае метод имеет ряд недостатков: он не учитывает множество возможных вариантов развития событий, а концентрируется лишь на нескольких основных версиях (при этом все они рассматриваются как равноценные); в недостаточной степени рассматриваются факторы, способные повлиять на развитие ситуации, что приводит к упрощению модели. Однако очень многие предприятия пользуются именно таким подходом, несмотря на относительно невысокую достоверность результатов такого анализа.

Стохастический анализ рисков (метод Монте-Карло) является более надежным. При таком подходе исходные параметры представляют как диапазоны значений (производят распределение вероятности). При этом разные переменные имеют разные вероятности наступления последствий. Значения выбирают случайным образом, исходя из возможных распределений вероятностей.

Выборки называются итерациями. Результаты выборок фиксируются. Для проведения моделирования процедура выборки повторяется сотни раз, поэтому такие результаты гораздо полнее способны раскрыть вероятность наступления ожидаемых событий. Данные такого моделирования способны продемонстрировать не только будущие события, но и показать вероятность их наступления. Результаты можно представить графически, а также отразить их чувствительность, то есть показать, какая из переменных в наибольшей степени повлияла на результат. Используя этот метод, возможно также показать взаимосвязями между изначальными переменными.

Удобнее всего проводить количественный анализ рисков на базе поскольку инструменты этой программы позволяют добавлять новые функции для получения возможности распределять вероятности и получать наиболее точные результаты.

В результате изучения материалов данной главы студент должен:

• знать подходы и методы качественной и количественной оценки рисков;
• уметь иллюстрировать практическое применение методов в оценке;
• владеть практическими методами количественной оценки рисков.

Этапы процесса оценки риска

Оценка рисков – в общем случае это процесс определения вероятности возникновения факторов риска, т.е. определенных событий или ситуаций, способных негативно повлиять на развитие проекта (бизнеса) и достижение запланированных результатов. В узком смысле оценка рисков – эго определение количественным или качественным способом величины (степени) рисков.

Общая последовательность оценки рисков типична, она состоит из пяти этапов, включающих следующие действия:

• 1) выявление источников и причин риска, этапов и работ, при выполнении которых возникает риск;
• 2) идентификация всех возможных рисков, свойственных рассматриваемому проекту;
• 3) оценка уровня отдельных рисков и риска проекта в целом, определяющая его экономическую целесообразность;
• 4) определение допустимого уровня риска;
• 5) разработка мероприятий по снижению риска.

Первые два этапа оценки могут быть выполнены с учетом

конкретной ситуации и с применением и анализом общей классификации рисков, представленной выше.

В соответствии с данным алгоритмом оценка рисков подразделяется на два взаимно дополняющих друг друга направления исследования рисков – качественный (первый, второй и пятый этапы) и количественный анализ (третий, четвертый и пятый этапы), поэтому методы анализа рисков могут быть классифицированы также в соответствии с этим.

Подходы к оценке рисков

Несмотря на теоретические разногласия, в различных практических расчетах применяют (как по отдельности, так и все вместе) примерно одни и те же подходы к учету факторов риска и неопределенности.

Первый подход ориентирован на качественный анализ рисков

Здесь от проектировщика-экономиста требуется узнать, с какого рода рискованными ситуациями может столкнуться участник проекта в процессе его реализации. В зависимости от обстоятельств в проекте могут быть предусмотрены те или иные стабилизационные механизмы – меры по снижению или перераспределению риска. Другими словами, применение этого подхода позволяет улучшить организационноэкономический механизм реализации проекта, обеспечить адаптацию проекта к меняющимся условиям его реализации. Такая адаптация может производиться разными способами:

• в проекте определяются не только сроки выполнения конкретных работ или оказания услуг контрагентами, но и санкции за нарушение этих сроков;
• процесс реализации проекта делится на этапы, и после завершения этапа каждый раз решается вопрос, надо ли переходить к следующему этапу, когда это лучше сделать, что следует изменить в ранее разработанном проекте для повышения его эффективности;
• учитывается возможность появления на рынке конкурирующей продукции или новых технологических способов производства, в связи с этим производится ограничение срока реализации проекта или предусматривается снижение цен на производимую продукцию в перспективе;
• предусматривается, что в случае снижения цен на производимую продукцию объем производства снижается, а запасы готовой продукции повышаются. И наоборот.

Сам процесс реализации проекта при таком подходе представляется в виде "дерева", ветви которого отвечают изменениям тех или иных условий и принимаемым решениям о продолжении или корректировке проекта. Оценка эффективности проекта требует рассмотрения всех возможных сценариев проекта ("ветвей"). Нередко каждой "ветви" приписываются определенные вероятности, и тогда эффективность проекта определяется по формуле математического ожидания.

Второй подход ориентирован на учет факторов риска и неопределенности непосредственно при проектировании, т.е. при установлении основных технико-экономических параметров проекта. Ясно, что на любой стадии проектирования ни один проектировщик не сможет абсолютно точно определить размеры всех видов затрат и результатов.

Третий подход ориентирован на учет неопределенности в виде поправок к ставке дисконта, т.е. путем введения так называемой премии за риск. Особенно часто этот подход выбирают те, кто понимает риск как измеримую неопределенность. Существенно, что включение "премии за риск" в ставку дисконта заставляет изменить определение самого этого понятия. При этом ставка дисконта обычно понимается как максимальная доходности альтернативных вложений, имеющих ту же степень риска, что и у данного проекта. В разных методах этой группы по-своему формируется набор учитывающих риск-факторов и отвечающее ему правило выбора соответствующей "премии за риск". Так, в кумулятивном методе перечень риск-факторов дается таблицей, где каждому фактору соответствует экспертно установленная "премия за риск".

Обратим внимание, что в данном подходе все многообразие рисков, связанных с реализацией проектов, агрегируется в одном показателе – ставке дисконта. Обеспечивая удобство расчетов, это одновременно не позволяет учесть распределение рисков во времени.

Поскольку в разных проектах состав рисков и динамика их снижения во времени разные, не существует каких-либо научно обоснованных способов отразить это в одном показателе ставки дисконта, а имеющиеся по этому поводу рекомендации представляют собой не более чем экспертные оценки.

При использовании "скорректированных на риск" ставок дисконта важно знать, какой именно денежный поток следует дисконтировать по этой ставке.

Четвертый подход исходит из постулата о невозможности полного учета факторов риска и неопределенности в каком-либо одном показателе типа NPV. Взамен предлагается выполнять расчеты, наглядно показывающие, что будет с проектом в тех или иных возможных условиях реализации (при тех или иных сценариях). При этом подходе риски понимаются именно как возможность неблагоприятного сочетания параметров проекта и его экономического окружения. Поэтому учет риска здесь сводится к варьированию какого- либо параметра проекта с целью выявления степени его влияния на денежный поток проекта и его NPV, – так называемый анализ чувствительности. "Если изменение значения переменной не оказывает существенного влияния на чистую приведенную стоимость, то правильность инвестиционного решения вряд ли будет зависеть от точности и аккуратности определения значения этой переменной. Если же даже незначительные изменения переменной оказывают сильное воздействие на уровень NPV, то проект считается высоко чувствительным к значению данной переменной, поскольку этот параметр в немалой степени определяет степень риска проекта. В этом случае оценке возможных значений этой переменной должно быть уделено самое пристальное внимание. Там же, где переменная оказывается решающей для результата инвестиционного проекта, и, если эта переменная характеризуется большой неопределенностью, возникает вопрос: стоит ли вообще осуществлять этот проект" . Особое место в системе расчетов устойчивости занимают оценки предельных значений параметров проекта (цены продукции, объемов производства и др.), т.е. таких значений этих параметров, при которых NPV проекта обращается в ноль.

Расчеты устойчивости обычно играют вспомогательную роль, давая инвестору и проектировщикам информацию о том, каким параметрам проекта и каким факторам риска следует уделить особое внимание.

Используя метод варьирования параметров проекта, часто не учитывают взаимосвязи его параметров. Поэтому правильнее было бы рассматривать ситуации синхронного изменения взаимосвязанных параметров, т.е. различные возможные сценарии реализации проекта. Как правило, при оценке реальных проектов рассматриваются десятки возможных сценариев – это помогает просчитать последствия различных "рискованных" ситуаций и уточнить организационно- экономический механизм реализации проекта.

Наконец при построении системы оценки рисков в первую очередь необходимо учитывать обстоятельства, связанные с получением информации, которая требуется для принятия необходимого решения. Методы оценки пятого подхода – в зависимости от полноты информации, которая есть у субъекта , можно разделить на три крупные группы (рис. 2.1): 1) определенности, когда информация о рисковой ситуации достаточно полная, например, представлена финансовой отчетностью (бухгалтерский баланс, отчет о прибылях и убытках и т.д.); 2) частичной неопределенности, когда информация о рисковой ситуации присутствует в основном в виде частоты появления рисковых событий; 3) полной неопределенности, когда информация о рисковой ситуации отсутствует, однако есть возможность привлечения специалистов и экспертов для частичного прояснения неопределенности.

Рис. 2.1.

При минимальном количестве исходной информации о предпринимательском риске решение задачи оценки рисков становится сложнее, снижается достоверность полученных результатов.

Остановимся подробнее на смысловом содержании групп, которые мы указали.

• Норткотт Д. Принятие инвестиционных решений. М.: Банки и биржи; ЮНИТИ, 1997.

За год до экономического кризиса 2008 года один российский финансовый журнал вместе с компанией, занимающейся управлением корпоративными финансами, провели конкурс бизнес-планов. После статистической обработки заявленных работ выяснилось, что самой уязвимой их частью был анализ проектных рисков. Такой недосмотр делал возможным возникновение инвестиционных ошибок, которые влекли за собой значительные потенциальные убытки. В большинстве конкурсных бизнес-планов имело место указание на существование потенциальных опасностей в реализации проекта, однако анализ и оценка рисков проведены не были.

Безрисковых проектов не существует. Увеличение сложности проекта всегда прямо пропорционально увеличивает масштаб и число сопутствующих рисков. Однако оценка рисков реализации проекта – это хоть и обязательный, но промежуточный процесс, результатом которого становится чёткий план снижения степени рискованности и план реагирования в случае осуществления потенциальной угрозы.

Под принято понимать возможность – вероятность возникновения неблагоприятных ситуаций, которые потенциально приводят к ухудшению итоговых и промежуточных показателей . При этом само событие может иметь разную степень неопределённости и различные причины.

Управление рисками включает не только констатацию неопределённости и анализ рисков проекта, но и совокупность методов влияния на рисковые факторы для нейтрализации ущерба. К методам, которые объединяются в систему планирования, отслеживания (мониторинга) и исправления (корректирования), относятся:

• Разработка стратегии управления рисками.
• Методы компенсации, которые включают мониторинг внешней социально-экономической и правовой среды с целью её прогнозирования, а также формирование системы резервов проекта.
• Методы локализации, которые используются в высокорисковых проектах в многопроектной системе. Такая локализация предполагает создание специальных подразделений, которые занимаются реализацией особо рисковых проектов.
• Методы распределения с применением разных параметров (времени, состава участников и др.).
• Методы отказа от рисков, связанные с заменой ненадёжных партнёров, введение в процесс гаранта, страхование рисков. Иногда уход от рисков подразумевает отказ от проекта.

Происходящие неопределённые события не всегда сопровождаются отрицательным эффектом. Например, уход с проекта одного члена команды может повлечь за собой появление на проекте более квалифицированного и эффективного работника. Однако неопределённые события с положительным (и с «нулевым») эффектом не всегда принимаются как предмет рассмотрения при оценке риска проекта. Природа неопределённости связывается с несением потерь по внутренним и внешним обстоятельствам.

Проектная специфика определяется и динамичностью карты риска с изменением рискованности по мере перехода от одной проектной задачи к другой:

• На начальных стадиях проекта существует высокая вероятность угроз с низким уровнем возможных потерь.
• На заключительных этапах риск осуществления угроз снижается, но возрастает величина потенциальных потерь.

С учётом этого, анализ проектных рисков целесообразно проводить неоднократно, трансформируя карту рисков по мере необходимости. При этом особенное значение этот процесс имеет на этапе формирования концепции и проведения работ по проектированию – созданию проектной документации. Например, если ошибка в выборе материала обнаружится на ранних стадиях, это повлечёт за собой срыв сроков. Если же эта ошибка обнаружится в ходе исполнения, ущерб будет гораздо более значительным.

Оценка рисков командой проекта и инвесторами делается на основе важности проекта, его специфики, наличия достаточных ресурсов для реализации и финансирования вероятных последствий проявления рисков. Степень допустимых рисковых величин зависит от запланированного уровня рентабельности, объёма и надёжности инвестиций, привычности проекта для компании сложности бизнес-модели и других факторов.

Последовательность мероприятий по оценке и управлению проектными рисками укладывается в определённую концепцию управления, которая включает ряд обязательных элементов.

Концепция управления проектными рисками: основные элементы

До недавнего времени в методологии управления рисками нормой был пассивный характер. В современном изложении эта методология предусматривает активную работу с источниками угроз и последствиями обнаруженных рисков. Управление рисками – это взаимосвязанные процессы, причём значение имеет не только поведение каждого этапа, но и их последовательность. В целом эта подсистема управления проектом имеет следующую структуру:

• Выявление рисков и их идентификация.
• Анализ проектных рисков и их оценка.
• Выбор эффективных методов, сообразных рискам.
• Применение этих методов в условиях рисковой ситуации и реагирование непосредственно на событие.
• Разработка мер по снижению рисков.
• Контроль за снижением и выработка решений.

Поскольку на сегодняшний день в управлении проектом большинство менеджеров ориентируются на формат, предложенный фреймворком PMBOK, целесообразнее подробнее рассмотреть те 6 процессов управления рисками, которые предложены в PMBOK:

1. Планирование управление рисками.
2. Идентификация факторов влияющих на риски. На этом же этапе документально оформляются их параметры.
3. Качественная оценка.
4. Количественная оценка.
5. Планирование реагирования.
6. Мониторинг и контроль.

После чего цикл снова возобновляется со 2-го по 6-ой пункт, поскольку в ходе проекта контекст существования проекта может меняться.

Проектные риски управляются менеджером проекта, но к решению этой задачи в той или иной степени привлекаются все участники проекта (например, при «мозговом штурме», обсуждении, вынесении экспертных оценок и др.). Это имеет значение ещё и потому, что информационный контекст предполагает выявление не только внешних рисков (экономических, политических, правовых, технологических, экологических и др.), но и внутренних.

В дальнейшем для иллюстрации воплощения основных элементов концепции управления будут приводиться примеры из проекта, которые имеет следующие условные характеристики. Ювелирный завод, который выводит на рынок новые золотые цепочки, для их изготовления закупает импортное оборудование, устанавливаемое в помещениях, которые ещё предстоит построить. Цена на золото как на основное сырьё устанавливается по результатам торгов Лондонской биржи металлов в долларах США. Запланированный объём продаж – 15 кг продукции в месяц, из которых 4,5 кг (30%) предполагается реализовать через собственную сеть магазинов, а 10,5 кг (70%) – через дилеров. Продажа подвержена сезонным изменениям с активизацией в декабре и затуханием в апреле. Оптимальный период для запуска оборудования – канун декабрьского пика продаж. Период реализации проекта – пять лет. Основным показателем эффективности проекта становится NPV (чистая приведенная стоимость), которая в расчётных планах равна 1765 $.

Планирование управления рисками

Вступительный процесс в перечне процедур по работе с проектными угрозами – это планирование управления рисками. Поскольку тот же PMBOK – это фреймворк, и он не даёт рекомендаций по работе с конкретным проектом, то на этом этапе уточняются методы и инструменты, которые уместно применить в реальном стартующем проекте и в реальном контексте. В развёрнутом виде план управления рисками в качестве документа содержит следующие разделы:

В рекомендациях института PMI этот этап необходим для коммуникации всех заинтересованных сторон. При этом в компании уже могут существовать сложившиеся и отработанные методики управления рисками, которые в силу своей привычности – предпочтительнее.

Идентификация факторов риска и основные типы проектных рисков

Всё разнообразие неопределённых событий, которые могут стать факторами риска, свести и описать довольно трудно, поэтому для этого привлекаются все и вся. То есть, не только руководитель проекта и команда участвуют в процессе идентификации факторов, но и заказчики, спонсоры, инвесторы, пользователи, специально приглашённые эксперты.

Причём идентификация – это итерактивный (повторяющийся в течение всего жизненного цикла) и сочетающийся с непрерывным анализом процесс. В ходе проекта часто обнаруживаются новые риски или обновляется информация о них. Поэтому и состав экспертной комиссии может меняться в зависимости от конкретной итерации, характеристики которой, в свою очередь, меняются в зависимости от конкретной рисковой ситуации и типа угрозы. Подобные типы рисков можно классифицировать по разным признакам, но наиболее практичными считаются критерии контролируемости, источников риска, его последствий, способов снижения угроз.

Не все угрозы контролируются, а некоторые – ещё и плохо классифицируются как определённо контролируемые. Под ряд определённо неконтролируемых факторов целесообразно заблаговременно отводить ресурсные резервы.

В целом внешние риски контролируются хуже, чем внутренние, а предсказуемые – лучше, чем непредсказуемые:

• К определённо неконтролируемым внешним рискам относятся вмешательство государственных структур, природные явления и стихийные бедствия, сознательное вредительство.
• К внешним предсказуемым, но плохо контролируемым – социальные, маркетинговые, инфляционные и валютные.
• К частично контролируемым внутренним – риски связанные с организацией проекта, доступностью финансирования и других ресурсов.
• К контролируемым – внутренние технические риски (связанные с технологиями) и контрактно-юридические (патентные, лицензионные и др.).

Критерий источника угроз особенно значим на первоначальных этапах идентификации. Критерии последствий и способа устранения угроз – на этапе анализа факторов. При этом важно не только идентифицировать, но и грамотно сформулировать рисковый фактор, чтобы не смешать источник риска с его последствиями. Поэтому сама формулировка риска должна быть двусоставной: «источник возникновения риска + угрожающее событие».

Для классификации по источникам риска составляют корректные стандартизированные пары:

• Технические факторы – аварийные ситуации и ошибочный прогноз как вид риска.
• Финансовые факторы – нестабильные валютные корреляции.
• Политические – перевороты и революции, религиозные и культурологические угрозы.
• Социальные – забастовки, террористические угрозы.
• Экологические – техногенные катастрофы и т.д.

Но ниже на уже упомянутом примере рассматриваются не все, а только основные типы контролируемых или частично контролируемых проектных рисков.

Маркетинговый риск

Эта угроза связана с недополучением прибыли, причиной чего становится снижение товарной цены или объёма продаж из-за неприятия нового продукта потребителем или переоценки реального объёма продаж. Для инвестиционных проектов этот риск имеет особое значение.

Риск называется маркетинговым, так как он часто возникает из-за недоработок маркетологов:

• недостаточного изучения потребительских предпочтений,
• неверного позиционирования товара,
• ошибок в оценке рыночной конкурентности,
• некорректного ценообразования,
• неправильного способа продвижения продукта и т. п.

В примере с продажей золотых цепочек ошибка в запланированном распределении объёма продаж в соотношении 30% на 70% приводит к тому, что реализация продукта через дилеров в 80% случаев снижает объём получаемой прибыли, поскольку дилеры приобретают товар у поставщика по более низким ценам, чем розничный потребитель. Внешним фактором в этом примере может стать ситуация, при которой активность посещения новых магазинов в торговых центрах зависит от «раскрученности» и популярности самих торговых центров. Путями снижением риска в этой ситуации будут детальный предварительный анализ и договор аренды с внесением ряда популяризующих параметров: удобной стоянки, системы транспортной коммуникации, дополнительных развлекательных центров на территории и др.

Общеэкономические риски

Плохо контролируемые внешние риски, связанные с изменением валютного курса, инфляционными процессами, увеличением числа отраслевых конкурентов и т. п. несут угрозу не только текущему проекту, но и компании в целом. В случае с описанным примером главным из этой группы становится валютный риск. Если конечная цена продукта в рублях для потребителя не меняется, но закупка производится в долларах, то при повышении курса доллара происходит фактическое недополучение прибыли по отношению к расчётным значениям. Потенциально возможна ситуация, когда после продажи цепочки в рублях и переводе средств в доллары, за которые закупается золото, фактическая сумма выручки окажется меньше, чем сумма, необходимая хотя бы для возобновления товарной массы.

Риски, связанные с управлением проектом

Это не только угрозы, связанные с управленческими ошибками, но и внешние риски, причинами которых могут быть, например, изменение таможенного законодательства и задержка груза. Нарушение графика проекта увеличивает срок его окупаемости и удлинением календарного периода, и недополученной выгодой. В примере с золотыми цепочками задержка особенно опасна, поскольку товар имеет выраженную сезонность – после пикового декабря продать золотые украшения будет значительно сложнее. Сюда же относится и риск повышения бюджета.

В практике проектного управления существуют простые способы определения реального строка (и стоимости) проекта. Например, PERT-анализ, при котором задаются три срока (или стоимости): оптимистичный (Х), пессимистичный (Y) и наиболее реалистичный (Z). Ожидаемые значения вводятся в формулу: (Х +4х Z + Y) /6 = планируемый срок (или стоимость). В этой схеме коэффициенты (4 и 6) – результат большого массива статистических данных, но и эта проверенная формула работает, только если все три оценки можно корректно обосновать.

При сотрудничестве с внешними подрядчиками для минимизации рисков оговариваются специальные условия. Так, в примере с запуском новой ювелирной линии нужно построить новые корпуса, стоимость которых определяется в 500 тыс. долларов, после чего планируется получение общей прибыли в размере 120 тыс. долларов в месяц при рентабельности в 25%. Если по вине подрядчика возникнет задержка на месяц, то недополученная прибыль легко высчитывается (120х25%=30 тыс.) и может быть вписана в договор в качестве компенсации за срыв сроков. Эту компенсацию можно «привязать» и к стоимости строительства. Тогда 30 тыс. долларов составят 6% от стоимости работ в 500 тыс.

Результатом всего этого этапа должен стать иерархический (ранжированный по степени опасности и величине) список рисков.

То есть, описание должно обеспечивать возможность сравнения относительного воздействия на ход проекта всех идентифицированных рисков. Идентификация производится по совокупности всех исследований и выявленных на их основе факторов риска.

Анализ проектных рисков трансформирует информацию, собранную в ходе идентификации, в руководство, позволяющее принять ответственные решения ещё на этапе планирования. В ряде случаев качественного анализа бывает достаточно. Результатом такого анализа должно стать описание неопределённостей (и их причин), присущих проекту. Чтобы облегчить процедуру выявления рисков для анализа используют специальные логические карты:

• В группе «Рынок и потребители » собираются вопросы о наличии неудовлетворённых потребностей потребителей, о тенденциях развития рынка и о том, будет ли рынок вообще развиваться.
• В группе «Конкуренты » оценивается возможность конкурентов повлиять на ситуацию.
• В группе «Возможности компании » задаются вопросы о маркетинговой и торговой компетенции и т. д.

В результате сбора ответов выявляются потенциальные риски, связанные с недостижением плана продаж по причине:

• неверной оценки потребительских потребностей и размера рынка,
• отсутствия достаточной системы продвижения продукта,
• недооценки возможностей конкурентов.

В итоге формируется ранжированный перечень рисков с иерархией по важности угроз и величине потенциальных потерь. Так в примере с ювелирными изделиями в основную группу рисков вошли, помимо недостижения количества продаж и снижения финансового объёма из-за более низкой цены, ещё снижение нормы прибыли по причине увеличения цен на сырьё (золото).

Количественный анализ рисков

К количественному анализу прибегают, чтобы определить, как наиболее существенные факторы риска могут повлиять на эффективность проекта. Например, анализируется, повлечёт ли небольшое (10-50%) изменение объёма продаж значительные потери прибыли, делающие проект невыгодным, или проект останется выгодным даже при продаже, например, только половины от запланированного объёма реализации. Для проведения количественного анализа существует ряд методик.

Анализ чувствительности

Данный стандартный метод заключается в подстановке различных гипотетических значений критических параметров в финансовую модель проекта с последующим их расчётом. В примере с запуском ювелирной линии критическими параметрами становятся физический объём продаж, себестоимость и цена реализации. Делается допущение об уменьшении этих параметров на 10-50% и об их увеличении на 10-40%. После этого математически рассчитывается «порог», за которым проект не окупится.

Степень воздействия критических факторов на итоговую эффективность можно продемонстрировать на графике, который отражает первоочередное влияние на результат цены продажи, затем – себестоимости продукции, и затем – физического объёма продаж.

Но значимость фактора изменения цены ещё не говорит о значительности риска, поскольку вероятность колебания цены может быть низкой. Для того чтобы определить эту вероятность, пошагово формируют «дерево вероятностей»:

Суммарный риск по эффективности (NPV) представляет собой сумму произведений итоговой вероятности и значения величины риска для каждого отклонения. Риск изменения цены продажи снижает NPV проекта из примера на 6,63 тыс. долларов: 1700 х 3% + 1123 х 9% + 559 х 18% - 550 х 18% - 1092 х 9% - 1626 х 3%. Но после пересчёта двух других критических факторов, выяснилось, что самой опасной угрозой следует считать риск снижения физического объёма реализации (его ожидаемая величина составила 202 тыс. долларов). Второе место по опасности в примере занял риск изменения себестоимости с ожидаемой величиной в 123 тыс. долларов.

Этот анализа позволяет одновременно измерить величину риска нескольких критических факторов. По результатам анализа чувствительности выбираются 2-3 фактора, больше других оказывающих влияние на результат проекта. Затем рассматривают, как правило, 3 сценария развития:

Здесь тоже, полагаясь на экспертные обоснованные оценки, для каждого сценария определяется вероятность его воплощения. Числовые данные для каждого сценария подставляются в реальную финансовую модель проекта, в результате чего получается одна комплексная оценка эффективности. В примере с ювелирным проектом ожидаемое значение NPV получается равным 1572 тыс. долларов (-1637 х 20% + 3390 х 30% + 1765 х 50%).

Имитационное моделирование (метод Монте-Карло)

В случаях, когда эксперты могут назвать не точные оценки параметров, а предполагаемые интервалы колебания, применяют метод Монте-Карло. Его чаще применяют при оценке валютных рисков (в течение года), макроэкономических угроз, рисков колебания процентных ставок и т. п. Расчёты должны имитировать случайные рыночные процессы, поэтому для анализа используют специальный софт или функционал Excel.

Применение статистического правила «трёх сигм» говорит о том, что с вероятностью 99,7% NPV попадёт в диапазон 1725 тыс. долларов ± (3 х 142), то есть с высокой вероятностью результат проекта в примере будет положительным.

Антирисковые меры: планирование способов реагирования

Результатом анализа рисков может стать карта рисков с визуализацией соотношения вероятности и степени воздействия на показатели. Она облегчает регламентированную процедуру планирования минимизации угроз.

В четвёрку основных типов реагирования входят:

1. Принятие, предполагающее осознанную готовность к риску с переносом усилий не на предотвращение, а на устранение последствий.
2. Минимизация, работающая для контролируемых рисков.
3. Передача-страхование, когда находится третья сторона, готовая принять риск и его последствия на себя.
4. Избежание, при котором предполагается полное устранение источников возникновения риска. Пассивной и нерациональной формой избежания считается отказ от отдельных элементов проекта.

Современные программные инструменты рассчитаны на разный уровень управления проектами. Для крупной компании, имеющей большой проектный портфель, средства автоматизации управления рисками чаще закладываются сразу в интегрированный пакет ERP-класса. Для малого и среднего бизнесов подойдут последние версии MS Project, где предоставляется возможность настройки блока управления рисками по процессам идентификации, классификации, а также оценки и качественного анализа рисков с построением матрицы вероятности. Имитационное моделирование можно провести с использованием программ Project Expert, «Альт-Инвест».

Концепция допустимого риска предполагает установление его пределов, до которых необходимо минимизировать присутствующие в бизнесе угрозы. Перед этим риск нужно выявить, детально исследовать его факторы, оценить и проанализировать. Оценка рисков и их анализ играют решающую роль в качестве этапа управленческой технологии. В настоящей статье акцентно выделена оценочная деятельность, основанная на данных финансовой отчетности предприятия. Кроме того, мы будем рассматривать оценку в контексте основных угроз бизнесу, без разделения его на инвестиционную и операционную части.

Основные способы анализа и оценки рисков

Последовательная триада «выявить, оценить и уменьшить» выражают суть процесса управления рисками на предприятии. Если выявление факторов риска предполагает формирование их единого ранжированного списка, то идентификация рисков может рассматриваться также как выявление факторов, но уже применительно к конкретной области. Идентификация рисков – это процедура выявления наиболее существенных качественных и количественных характеристик риска путем сопоставления:

• с размером предполагаемого ущерба от возникновения сопутствующих им событий;
• с вероятностью возникновения данных событий;
• с возможностями видов деятельности компании;
• с результатами конкретных бизнес-процессов;
• с возможностями функциональных и производственных подразделений предприятия и т.д.

Иными словами, идентификация рисков – это процедура распознавания в связи с чем-то (размер ущерба, вероятность, вид деятельности, операция). Когда этап выявления подходит к завершению, на выходе возникает совокупность факторов риска, на основе которых первично оценен так называемый «начальный риск», то есть риск идеи, риск замысла дальнейшей деятельности. Далее, переходя на этапы оценки и анализа, возникает намерение на выходе получить проанализированный и оцененный уровень риска, что позволит разработать и реализовать мероприятия по уменьшению степени его опасности.

Схема последовательности анализа и оценки предпринимательского риска

Выше представлена модель процесса аналитических и оценочных действий управленческой технологии в контексте этапа «оценить». Допустим, перед углубленным анализом завершено выявление рисков, риск-менеджер имеет на руках результаты их идентификации. То есть он на качественном уровне получает представление, как влияют те или иные внешние и внутренние факторы на конкретный исследуемый риск. Далее ему предстоит выбрать методологические подходы для следующей работы с рисками и реализовать этапы детального анализа и оценки. Подразумевается выбор среди нескольких способов таких мероприятий, в этой связи различают:

1. Модели, основанные на экспертных методах.
2. Модели, реализующие методы финансового анализа на основе данных финансовой отчетности.
3. Оценочно-аналитические способы, реализуемые по данным управленческой отчетности (вероятностные, статистические методы, элементы теории игр в оценке риска).

Модели экспертных оценок будут рассмотрены в отдельной статье. Анализу и оценке рисков с применением управленческой статистики, вероятностных подходов и теории игр посвящен материал про . Мы же остановимся подробно на способах, использующих результаты финансовой отчетности и конкретно отчеты формы №1 (бухгалтерский баланс) и №2 (отчет о прибылях и убытках). При такой оценочной работе активно используются подходы финансового менеджмента и анализа.

Использование бухгалтерских отчетов в анализе рисков

По своему профессиональному профилю риск-менеджер похож на менеджера проектов с той точки зрения, что к нему предъявляются такие же высокие требования по владению разнообразными отраслями управления, включая финансовый менеджмент и анализ. По существу лучшая базовая компетенция и того, и другого специалиста – экономика и организация отраслевого производства. Это означает, что риск-менеджер должен уметь читать бухгалтерскую отчетность, владеть основными показателями финансового анализа: ликвидности, платежеспособности, устойчивости, независимости и т.д.

Еще при осмыслении этапа «выявление рисков» мы отмечали с вами, что при системной группировке факторов важен анализ имеющейся в компании документации (правовой, организационной, финансовой, технологической). И среди первых документов, на которые следует обратить внимание, мы называли бухгалтерскую отчетность. Эти сведения обладают достоинствами и недостатками. К ее достоинствам следует отнести то, что в бухгалтерском отчете соблюдаются такие основные правила, как непрерывность, балансируемость, двойная запись отражаемых хозяйственных операций. Используя критерии и модели финансового анализа применительно к финансовой отчетности, мы можем увидеть, как можно оценить определенную группу финансовых рисков. К ней, в частности, относятся:

• ценовые риски;
• имущественные риски;
• риски финансового инвестирования;
• риск реального инвестирования;
• налоговый риск;
• кредитный риск;
• инфляционный риск;
• риск ликвидности;
• валютный риск;
• риск потери финансовой устойчивости и независимости;
• риск банкротства.

Потенциальные риски, привязанные к статьям Актива баланса предприятия

За помощью в анализе рисков на базе бухгалтерской отчетности риск-менеджер обращается в финансовый департамент организации. Вместе с финансовой службой им инициируется процедура оценки названных выше рисков. Дело в том, что практически каждая статья актива и пассива баланса несет в себе отпечаток или потенциал рисковых событий. Виды рисков связаны с природой балансовых статей, и это обстоятельство позволяет достаточно оперативно провести качественный анализ статей для выявления возникшей или назревающей неблагополучной ситуации.

Потенциальные риски, привязанные к строкам отчета о прибылях и убытках

Выше размещена форма типового отчета о прибылях и убытках, в ней синими блоками отражены виды потенциальных рисков, которые могут возникнуть на предприятии. Рисковый потенциал присутствует в каждой отмеченной позиции, исходя из природы экономических элементов, построчно помещенных в отчет. Стоит заметить, что регулярный анализ не только баланса и отчета о прибылях и убытках (формы № 2), но и ОДДС (отчета о движении денежных средств) входит в непосредственные обязанности финансового директора.

Примеры анализа финансовой отчетности на предмет рисков

В современной практике менеджмента бухгалтерскую отчетность часто именуют финансовой. Виды отчетности, которые предназначены для внешних заинтересованных лиц, включают следующее.

1. Финансовую отчетность, которая готовится для налоговых органов, органов Росстата, банков и акционеров.
2. Налоговую отчетность.
3. Управленческую отчетность для высшего менеджмента компании и основных владельцев.

Поскольку управленческая отчетность также может готовиться на принципах бухгалтерского учета, то и состав бухгалтерской отчетности несколько шире, чем финансовой. Однако объективности ради следует признать, что понятия эти в российской действительности тождественны. Предположим, что по действующему регламенту риск-менеджер ежеквартально инициирует качественный анализ рисков по данным финансовой отчетности. Разберем пример, как это может происходить.

Допустим, что анализ выполняет заместитель финансового директора. Лучше всего поместить данные отчетов за несколько отчетных периодов в один файл в формате Excel и начать по каждой позиции отслеживать динамику изменения статьей, по необходимости углубляясь в аналитику. Так, например, основные средства, незавершенное строительство и НМА характеризуются ценовыми рисками, что может быть связано:

• с повышением покупной стоимости активов;
• с себестоимостью объекта капитального строительства, превысившей стоимость сметных расчетов;
• с возможной необходимостью переоценки ОС и НМА и т.д.

Следующий пример касается рисков финансового инвестирования по статье «Долгосрочные финансовые вложения». Предположим, что компания осуществила инвестиции в акции российских «голубых фишек». Этому сопутствуют риски биржевой стоимости акций, дивидендные риски и т.п. Аналитик, который проводит анализ, обязан зафиксировать изменение ситуации, и отразить рисковую динамику в своей справке.

Пример оценки налоговых рисков связан с рядом статей актива и пассива баланса (строки 145, 220, 515, 620) и определенными строками отчета о прибылях и убытках (строки 141, 142, 150). Данные позиции целесообразно отслеживать:

• все вместе;
• по каждому налогу в динамике по периодам;
• по отложенным налоговым активам;
• по отложенным налоговым обязательствам.

Финансовый руководитель имеет возможность оперативно проверить возможные учетные ошибки, резервы налогового планирования. Например, основные критерии к обращению НДС на возмещение из бюджета выполнены. Однако какие-то позиции в книге продаж являются спорными, существует риск, что в результате камеральной проверки НДС к уплате не будет уменьшен ИФНС на планируемую сумму, и этот риск должен быть зафиксирован руководителем финансовой службы. Подобным образом проходятся все статьи формы №1 и формы №2. Для риск-менеджера составляется комплексная справка о качественном анализе финансовых рисков.

Динамика развития финансовой несостоятельности

Для целей настоящей статьи под финансовой несостоятельностью организации будем понимать ее неспособность финансировать текущую операционную деятельность и отвечать по своим обязательствам из-за отсутствия необходимых для этого средств. Заинтересованные стороны внутри и вне компании практически всегда и по разнообразным поводам интересует вопрос о состоятельности организации. От этого зависит не только ее успех на рынке, но и риски акционеров, инвесторов, партнеров предприятия. Риски потери компанией финансовой независимости, устойчивости, платежеспособности синтезируются в комплексный риск финансовой несостоятельности.

Предприятие, проходя через этапы развития кризиса, обретает признаки несостоятельности не сразу. Негативные тенденции имеют свойство накапливаться постепенно. Тем не менее, бухгалтерская (финансовая) отчетность, при регулярном анализе и оценке позволяет своевременно уловить нисходящий тренд и выработать стратегию его исправления. Далее вашему вниманию предлагается схема динамики развития финансового кризиса коммерческой организации, которая проходит через определенные этапы деградации ликвидности и платежеспособности.

Схема динамики развития банкротства и связей моделей оценки риска

Законы природы и бизнеса в смысле нарастания кризисной ситуации очень похожи. Проблема всегда приходит с более высокого системного уровня. Когда текущие задачи отклоняются от предначертаний миссии и целевой программы, возникает риск неполного воплощения стратегии, замысла. Такое нарушение сложно поддается определению, поскольку рутинные текущие задачи достаточно далеки от стратегии, и связь не видна. Как правило, легко находятся внешние причины нарушений показателей финансово-хозяйственной деятельности.

Однако в 99% случаев причина всегда внутри. Тем не менее, опытный финансист, привыкший к регулярной процедуре качественной оценки рисков на основе данных бухгалтерской отчетности, всегда вовремя заметит неладное по числу слабых сигналов. Как правило, сигналы исходят от взаимосвязанных статей баланса и формы №2. И когда они начинают постепенно расти, косвенно это свидетельствует, что начало кризиса наступило или вот-вот придет.

В момент, когда становится очевидным риск ликвидности организации, кризис вступает в стадию своего активного развития. В этот период компания еще справляется с временными трудностями по удовлетворению финансовых обязательств. Но все чаще проявляются перебои в виде кассовых разрывов, перекредитование постепенно становится общей практикой, ухудшается кредитная история. Получать новые ссуды становится все трудней, структура активов ухудшается. Наконец, кризис переходит стадию угрозы банкротства. Предприятие оказывается один на один с риском полной неспособности оплатить долги кредиторам, выдать заработную плату и погасить задолженность по налогам.

Состав моделей оценки риска

Как мы уже определились, первый кризисный этап развития несостоятельности предприятия протекает латентно, то есть скрыто от глаз наблюдателя. Затем, когда показатели диагностики финансовой отчетности демонстрируют отрицательную динамику ликвидности активов, платежеспособности, финансовой устойчивости и независимости, кризис становится явным. В финансовом менеджменте все эти показатели известны. В период развития принято считать, что финансовые критерии выстраиваются в иерархию, которая в кризис переворачивается сверху вниз и выглядит следующим образом.

1. Ликвидность.
2. Платежеспособность.
3. Устойчивость.
4. Рентабельность.
5. Деловая активность.

Каждое предприятие должно сформировать целевые нормативные значения этих показателей. Под ликвидностью мы рассматриваем способность актива превращаться в денежные средства, и мерой этого служит время. Следовательно, ликвидность актива – это скорость превращения актива в денежные средства без существенной потери стоимости. Тогда, что собой представляет платежеспособность?

В ряде литературных источников к ней приравнивают показатель абсолютной ликвидности, которая рассчитывается как отношение наиболее ликвидных активов к текущим пассивам. Но даже для таких активов требуется время для превращения их в деньги. Поэтому платежеспособность – это способность компании удовлетворять в любой момент времени предъявляемые к ней требования по исполнению принятых финансовых обязательств.

Неплатежеспособность является свидетельством риска банкротства. Этот и другие критерии несостоятельности бизнеса исследуются в ходе диагностики структуры основных финансовых отчетов. Естественно, что чем раньше удастся выявить негативные тенденции, тем лучше, несмотря на то, что стадия развития кризиса носит еще скрытый характер. И подход к оценке рисков должен быть комплексный. В этой связи мы можем говорить о разнообразных моделях оценки риска, разработанных управленческой школой и используемых на практике.

Основные виды моделей, которые получили распространение среди исследователей и практиков:

• модели оценки риска и анализа ликвидности коммерческой организации;
• модели оценки риска и анализа потери финансовой устойчивости;
• комплексные подходы балльной оценки риска и анализа финансового состояния компании;
• модели рейтингового анализа финансового состояния;
• зарубежные и отечественные модели прогнозирования риска банкротства.

Классификационная схема комплексных моделей оценки риска финансового состояния

Выше представлена классификационная схема комплексных моделей, применяемых на скрытой и явной стадиях кризисной ситуации, в которую может попасть компания, если с данным риском не работать. Модели оценки риска ликвидности и финансовой устойчивости не включены в схему, поскольку они не носят комплексного характера. Однако уровень их значимости высок. Так, коэффициент текущей ликвидности включается в качестве основного критерия практически в каждую комплексную модель.

Способы оценки риска ликвидности

Ликвидность как свойство компании, состоящее в способности покрывать свои обязательства активами без существенной потери их стоимости, свидетельствует о финансовом равновесии деятельности. При этом предполагается, что срок превращения активов в денежные средства соответствует обязательному сроку покрытия обязательств. Различают текущий, промежуточный и абсолютный вид ликвидности.

Все статьи балансового листа, в зависимости от приблизительного срока перевода их в денежные средства, характеризуются соответствующим риском. При этом свойством риска ликвидности обладают не только активы, но и пассивы предприятия. Он тем больше, чем короче срок покрытия обязательства его исполнением. Далее представляются две таблицы градации риска ликвидности для групп активов и пассивов организации.

Модель группировки активов баланса по уровню риска ликвидности

Модель группировки пассивов по уровню риска ликвидности

Рассмотрим группировку активов по риску ликвидности. Действительно, денежные средства на расчетных счетах в банках и в кассах организации – самые ликвидные активы, поскольку они определяют ее платежеспособность. Краткосрочные финансовые вложения, как правило, могут быть быстро (имеется в виду, до трех месяцев) переведены в денежные средства. Как пример, такими активами могут выступить краткосрочные займы, срочные векселя коммерческих банков, облигации с коротким сроком погашения т.д. Далее приводится пример группировки разделов бухгалтерского баланса предприятия ПАО «Ремавтоматика» с присвоением им риска ликвидности.

Пример группировки разделов баланса по степени риска ликвидности промышленного предприятия

По балансовому листу анализ рисков ликвидности проводится также на основании метода использования абсолютных показателей. Производится сравнение сопоставимых по риску ликвидности разделов актива и пассива баланса по правилу покрытия. Соотношение сравниваемых значений по группам определяет тип ликвидности и соответствующую зону риска. Метод наглядный и достаточно простой. Его недостатки связаны с «посмертностью» учетных данных и невозможностью установления степени ликвидности за счет акцента на сравнении. Ниже приводится модель оценки с помощью абсолютных показателей.

Модель анализа и оценки риска ликвидности с использованием абсолютных показателей по балансу

Коэффициенты ликвидности показывают способность актива баланса покрывать наиболее короткие по времени обязательства: кредиторскую задолженность и краткосрочные пассивы. Коэффициент текущей ликвидности имеет особенность, по которой активы со сроком перевода в денежные средства в один календарный год соотносятся с обязательствами, которые требуется погасить в срок не более полугода. Поэтому нормативное ограничение считается оптимальным на уровне не менее 2,0. Далее размещена модель оценки риска ликвидности с использованием относительных показателей.

Модель анализа и оценки риска ликвидности по балансу с использованием относительных показателей

Риск потери устойчивости в моделях оценки риска

У финансового директора должен возникать ряд вопросов. Хватает или не нет собственного капитала компании на покрытие внеоборотных активов? Не задействованы ли при этом заемный капитал, текущие пассивы? Какую часть оборотных средств мы финансируем из собственного капитала? На эти вопросы отвечает показатель «собственные оборотные средства» (СОС) как разница между собственным капиталом компании и внеоборотными активами.

Помимо СОС в финансовом менеджменте оперируют также показателем «чистый оборотный капитал». Он отвечает на вопрос: хватает ли собственного капитала и долгосрочных обязательств на покрытие не только внеоборотных активов, но и части оборотного капитала? СОС и ЧОК позволяют определить финансовую устойчивость предприятия, способы расчета которой различны. В целях настоящей статьи будем оперировать пока только критерием СОС. Виды показателя финансовой устойчивости компании разделяется на три вариации.

1. Абсолютная финансовая устойчивость. Она определяется как разница между СОС и «затратами на запасы» (ЗЗ). Показатель «абсолютная устойчивость» говорит нам, что величина собственного капитала такова, что ее хватает и на внеоборотные активы, и на остатки материальных запасов на складе. Этой устойчивости соответствует безрисковая зона соотношения собственного капитала и активов. Такой подход отвечает российской методологии восприятия собственного капитала.
2. Нормальная устойчивость. В западном подходе к собственному капиталу по экономической природе приравнивают долгосрочный заемный капитал. Он несколько снижает финансовую устойчивость предприятия, но не столь критично, поэтому появляется еще одно понятие – «собственные и долгосрочные источники» (СДИ). СДИ участвуют в расчете значения нормальной устойчивости.
3. Неустойчивое финансовое состояние. Если финансист видит, что собственного капитала и долгосрочных заемных средств недостаточно, им вынуждено инициируется процедура привлечения краткосрочных займов, которые могут привести компанию в неустойчивое финансовое состояние. Совокупность СДИ и краткосрочных займов и кредитов составляет понятие ОВИ (основных величин источников).

Процедурная модель анализа и оценки финансовой устойчивости по абсолютным показателям

Данная методика обладает достоинствами: она проста, удобна и широко распространена. Однако у модели имеются и недостатки. Ее процедуры не позволяют осуществить прогноз, оценка выполняется на основании сведений постфактум. Кроме того, невозможно определить степень потери финансовой устойчивости. Поэтому настоящую модель необходимо дополнять относительными показателями, такими как:

• доля оборотных средств в активах предприятия;
• коэффициент обеспеченности компании собственными источниками финансирования;
• коэффициент капитализации;
• коэффициент финансовой независимости;
• коэффициент финансовой устойчивости.

Обзор комплексных методов оценки состоятельности

Тема оценки рисков банкротства предприятия практически неисчерпаема и заслуживает внимания не одной статьи. В рамках настоящего материала я лишь кратко обрисую основные способы оценки риска финансового состояния. Начну с моделей балльной оценки риска банкротства. Данные способы отличает шкальное деление нормативных диапазонов относительных показателей на классы или интервалы.

В качестве примера ниже приведен первый вариант такой модели. В ней собрано восемь показателей, исследуя состояние которых, аналитик осуществляет набор баллов. От совокупной суммы набранных баллов зависит причисление компании к соответствующему классу риска. С 3-го класса начинают проявляться признаки банкротства.

Модель комплексной балльной оценки риска финансового состояния

Развитие представленной методики осуществляется за счет включения в состав показателей критериев рентабельности и деловой активности. Благодаря настоящей модели дополнительно может оцениваться уровень финансового менеджмента на предприятии. Весьма полезными могут оказаться модели так называемого рейтингового финансового анализа, особенно в случае потребности оценки потенциального партнера при заключении контракта на существенную сумму. Для контрагента рассчитывается риск банкротства с применением весовых коэффициентов при показателях, включаемых в расчет. Различают четырехфакторную и пятифакторную модели рейтингового анализа. Далее представлен вариант пятифакторной модели.

Все описанные выше доли обладают несомненными достоинствами. Но в них присутствует один существенный недостаток, который выражается в том, что никто не может стопроцентно обосновать логику выбора состава показателей и размеры нормативных ограничений. Нормативы принимаются, исходя из определенных теоретических моделей, не учитывающих ни национальную специфику, ни вид деятельности компании, ни многое другое.

Поэтому стали применяться несколько иные способы, основу которым положил американский экономист Эдвард Альтман. Профессор Нью-Йоркского университета Э. Альтман разработал в 60-80-х прошлого века серию моделей после открытия концепции «Z score model». Десятилетнее наблюдение за представительной группой компаний позволили ученому выстроить статистическую модель по критериям, которые он вычислил математически для обанкротившихся компаний за период исследований. Так появилась двухфакторная модель Альтмана. Научная идея получила широкое развитие, стали появляться ее интерпретации, в том числе с адаптацией к российским условиям хозяйствования. Приведу в пример несколько моделей прогнозирования риска банкротства:

• пятифакторная модель Э. Альтмана (1968 г.);
• пятифакторная модель Э. Альтмана (1978 г.);
• пятифакторная модель У. Бивера, адаптированная к российским условиям;
• отечественная двухфакторная модель прогнозирования банкротства.

Основные выводы и заключение

В целом концепция развития финансового кризиса предприятия достаточно ясная и понятная. Методы и модели работы с рисками финансовой несостоятельности компании просты и опираются, как ожидается, на самую объективную информацию – бухгалтерскую отчетность. Вместе с тем, существуют определенные проблемы анализа риска, которые еще предстоит решить будущим поколениям специалистов-практиков и ученых-методистов.

1. Бухгалтерский учет и финансовая отчетность в современном мире налоговых маневров, случается, несут существенные искажения. Здесь нельзя не вспомнить особенностей национальной забавы «двойной бухгалтерии». Кроме того, несмотря на стандартизацию учета, непреднамеренные ошибки все-таки происходят.
2. Сама природа финансовой отчетности «посмертна». Отчетность лишь фиксирует происшедшую совокупность учетных событий с минимальным отставанием от актуальных данных на один месяц (в лучшем случае). Как известно, управлять «ушедшим поездом» невозможно, поэтому анализ и оценка происходят на базе тактических тенденций.
3. Роль двухфакторных и даже трехфакторных моделей не выходит за пределы индикаторной оценки и прогноза риска несостоятельности.
4. Зарубежные методики не совсем подходят к российским реалиям налогового законодательства, финансового права, исторически сложившихся условий хозяйствования, поэтому требуют адаптации.
5. Прогноз риска финансовой состоятельности с учетом длящейся кризисной ситуации в экономике нашей страны и нестабильности не может быть более одного календарного года.
6. Показатели финансового состояния, используемые в качестве аргументов в формулах оценочных расчетов, обладают эффектом частичного дублирования экономической природы, поскольку часто в своем составе несут одни и те же статьи баланса и формы №2.
7. Данные модели отличаются определенной однобокой нацеленностью на оценку угрозы несостоятельности и не позволяют осуществить прогнозы вывода компании на тренд развития.

Я отдаю себе отчет в том, что добрая половина рисков отечественных предприятий так или иначе связана с финансами. Не зря же во многих компаниях инициаторами становления риск-менеджмента были и остаются финансовые директора. А структуры координации работы с рисками входят в состав финансовых департаментов управляющих компаний.

Долгие годы, наблюдая динамику событий, отмечаю, что результаты процесса оценки рисков на основе анализа структуры отчетности оправдывают потраченные усилия. Сколько раз приходилось видеть работу специалистов и руководителей, отводящих бизнес от опасной черты за счет своевременно принятых решений. Завершая статью, отмечу, что верю – в недалеком будущем появятся системы с элементами искусственного интеллекта, способные на основе моделей корреляционно-регрессионного анализа управлять финансами, избегая проблем и угроз, названных выше.

Посвятили активности идентификации рисков.

Сегодня мы хотим поговорить про виды анализов рисков и обосновать необходимость их применения при определенных условиях.

Рассматриваемая тема будет особо актуальна для тех коллег, кто уже столкнулся с практикой отечественных предприятий (а вернее её отсутствием), которая демонстрирует, что только относительно небольшая часть из них выполняют анализ и последующее обоснование того, как управлять риском в процессе внедрения новых проектов или сопровождения текущей деятельности.

Введение

На сегодняшней день множественная типизация рисков, вызванная неоднородностью самого этого понятия, и природы его возникновения, привела к появлению и существованию большого числа способов по их анализу и дальнейшим методам по работе с ними, на разных этапах жизненного цикла, начиная с момента появления возможности возникновения до конечного/промежуточноконечного состояния.

Различные по своим причинам/характеристикам/ и т.д. риски имеют строгоопределенные или рекомендованные тактики и стратегии по их обработке. Каждая их таких видов активностей должна содержать в себе один или несколько подходов, любой из которых основан на четком алгоритме. Такие подходы к исследованию явных, скрытых или потнециальных причин рисков принято называть видами анализа рисков.

Анализ рисков. Идентификации ИТ активов

Введем понятие анализа рисков:

Анализ рисков - процедуры выявления факторов рисков и оценки их значимости на конкретное событие, группу событий, систему.

По сути, анализ рисков – это анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение поставленных целей.

Анализ рисков, в сфере информационных технологий, состоит из оценки риска, по определенным метрикам, методы работы с рисками, такие, как снижение риска, его игнорирование, уменьшения связанных с ним неблагоприятных последствий и т.д.

Анализ рисков в области ИТ, связан, прежде всего, с созданием/развитием/ вводом в эксплуатацию/ выводом из эксплуатации/сопровождением и т.д. информационных систем (ИС), технологий и любых других ИТ активов, сопровождающих домен информационных технологий конкретного предприятия.

ИТ Активы – это все артефакты, имеющие определенную ценность для организации, использующей их в своей деятельности. Активы могут быть выражены как в конкретном стоимостном значении, так и не иметь четко определенной ценности, в актуальный момент времени.

Все ИТ активы, прямо или косвенно участвуют в формировании дохода предприятия или создании конечного продукта/сервиса, от реализации которого зависит успех организации (сотрудники, техника, уникальные процессы, сервера и т.д.).

От правильного учета и управления ИТ активами, зависит степень подверженности того или иного процесса, использующего данные активы, рисковому влиянию. Особо важные и критичные активы должны быть идентифицированы, оценены и задокументированы, в соответствии со спецификой бизнеса, в котором проводится анализ рисков (минимально достаточным документом является реестр активов по аналогии с уже рассмотренным реестром рисков).

При идентификации ИТ активов необходимо учитывать их комплексность и возможную взаимосвязанность с другими видами активов. Установление подобных связей позволит добиться прозрачности процессов и ресурсов, которые их используют. Это, в свою очередь, окажет влияние как на оптимизацию и повышение качества процедур классификации и идентификации рисков, рассмотренных нами ранее, так и на активности, связанные с последующими стадиями процесса анализа и управления рисками, такими, как качественный и количественный анализы рисков, создание комплексной системы по работе с рисками и т.д.

Каждый актив должен иметь владельца, в обязанности которого должно входить управление и контроль за подотчетный ему актив. Это позволит предварить и избежать появления возможных коллизий, связанных с нерегламентированным, неправомерным, низкоэффективным использованием актива, при условии осведомленности и квалифицированности его «хозяина».

Конечно, при идентификации активов необходимо помнить цели, преследуемые процессом анализа и управления рисками, чтобы не «впасть в крайности» и не отклониться от поставленных задач. В процессе идентификации, у неопытного специалиста, может появиться соблазн включить и описать, как можно больше активов. Необходимо помнить о том, что над каждым описанным активом надо провести довольно скрупулезную работу по его описанию и вести дальнейшее поддержание созданной документации в актуальном состоянии.

После того, как активы выявлены, наступает этап выявления и оценки рисков, влияющих на определенный актив.

Оценка информационных рисков

Оценка информационных рисков – процедура ранжирования приоритета конкретных условий и факторов, которые могут стать причиной нарушения целостности системы.

При оценивании рисков, влияющих на определенные активы, учитываются многие факторы: ценность актива, значимость угроз, эффективность имеющихся и планируемых ресурсов актива. Факторы зависят от конкретной ситуации, вида актива и риска.

В свете изучаемого материала стоит сразу привести альтернативное определение понятия оценки:

Оценка информационных рисков - это определение количественным и/или качественным способом величины (степени) рисков. Количественные и качественные виды анализов будут рассмотрены нами далее.

Стоит сделать небольшое лирическое отступление и провести экскурс в актуальное состояние дел, связанных с активностью анализа риска в целом, и его оценки, в частности, в РФ. То, что современные технологии анализа рисков, мягко говоря, в России используются сравнительно редко, было показано нами ранее. Одна из основных причин такого положения состоит в том, что в руководящих документах, на большинстве законодательных уровней, как в государственном масштабе, так и на уровне частного предпринимательства, не рассматриваются аспекты рисков, их допустимый уровень и то, что на наш взгляд самое главное, ответственность за принятие определенного уровня рисков.

Риск, при первичном выявлении, это во многом интуитивное понятие, которое каждый подсознательно или осознанно учитывает, принимая то или иное решение. То, что о рисках не говорят, это не значит, что их нет. Риски появляются, вместе с появлением активов и соответственно, появляется ответственность, которая должна быть четко и однозначно персонифицирована. Только при таком подходе можно говорить о том, что система по анализу и управлению рисками будет приносить результаты. Принимать и игнорировать правильно только те риски, которые идентифицированы, исследованы и оценены, как не критичные, для конкретного случая или системы.

Оценка риска должна обеспечить понимание возможного масштаба проблем, событий и принятие решений о том, каким образом надо обрабатывать тот или иной риск.

Оценка может быть выполнена с различной степени детализации, используя один или несколько методов. Форма оценки и её результат должны быть совместимы с критериями риска для определенной ситуации и применяемого метода, который должен удовлетворять таким условиям, как:

• Тип организации;
• Окружение потенциально «ущербной» ситуации;
• Форма результатов должна повышать осведомленность о виде риска и его периодичности;
• Верификация причин, процесса и результатов;

Так же, при выборе способа оценки риска необходимо учитывать такие характеристики окружения риска, свойственного определенному активу, как:

• Цели организации;
• Цели исследования риска;
• Ответственность возможных вариантов решения;
• Тип риска и его характеристики;
• Последствия от риска, в случае его реализации;

При оценке риска следующие факторы влияют на полноту и качество получаемых результатах о риске:

• Степень качества и полноты используемых экспертиз;
• Доступность однозначной и непротиворечивой информации о риске, и его окружении;
• Необходимость в периодичном обновлении данных о риске;
• Временные и ресурсные ограничения на процедуру оценки рисков;

Необходимо помнить о том, что такая характеристика, как неопределенность, может быть неотъемлема от целей организации, для которой проводится оценка риска. Данные, на основе которых проводится оценка, не всегда могут обеспечить достоверность процедуры прогнозирования. В целях совершенствования качества активностей по работе с рисками, и однозначном понимании полученных результатов, стэйкхолдеры (лица принимающие решения) и исполнители процессов по анализу и управлению рисками должны поддерживать постоянный контакт и взаимное информирование друг друга данными, необходимыми для сопровождения «рисковой» составляющей.

Задача оценки конкретного риска может быть довольно сложной, в зависимости от параметров, сопровождающих актив, который подвержен риску. К примеру, в сложных информационных системах оценка риска, как инкапсулированной составляющей, будет некорректна. Каждая часть информационной системы не существует сама по себе, а связана с другими компонентами и частями. Это приводит к тому, что один компонент, подверженный риску, ставит «под угрозу» связанные с ним элементы и связи, по которым осуществляется взаимодействие между ними, а так же все компоненты, являющиеся потребителями результатов процессов, в деятельности которых задействован рисковый элемент.

Методы оценки рисков имеют множественную классификацию для обеспечения понимания их преимуществ и недостатков. Мы перечислим методы, приведенные в ГОСТ Р ИСО/МЭК 31010-2011. При желании наши уважаемые коллеги могут более подробно с ними познакомиться, изучив упомянутый стандарт:

• Мозговой штурм;
• Структурированные или частично структурированные интервью;
• Метод Делфи;
• Контрольные листы;
• Предварительный анализ опасностей;
• Исследование опасности и работоспособности;
• Анализ опасности и критических контрольных точек;
• Оценка токсикологического риска;
• Структурированный анализ сценариев методом «что, если?» (SWIFT);
• Анализ сценариев;
• Анализ воздействия на бизнес;
• Анализ первопричин;
• Анализ видов и последствий отказов (FMEA);
• Анализ дерева неисправностей;
• Анализ дерева событий;
• Анализ причин и последствий;
• Причинно-следственный анализ;
• Анализ уровней защиты;
• Анализ дерева решений;
• Анализ влияния человеческого фактора;
• Анализ «галстук-бабочка»;
• Техническое обслуживание, направленное на обеспечение надежности;
• Анализ скрытых дефектов;
• Марковский анализ;
• Моделирование методом Монте-Карло;
• Байесовский анализ и сети Байеса;
• Кривые FN;
• Индексы риска;
• Матрица последствий и вероятностей;
• Анализ эффективности затрат;
• Мультикритериальный анализ решения;

Часть из этих методов является более универсальными, другая менее и применимы только для конкретных, узкоспециализированных отраслей (К примеру метод - «Оценка токсикологического риска»), но не перечислить мы их не могли Наиболее применимые для использования на практике в ИТ, мы рассмотрели в прошлой статье.

Подводя итоги процесса оценки риска, мы приведем примерное содержание работ по оценке рисков и их последовательность, которая наиболее полно и оптимально отражает процедуру выполняемых работ, по нашему мнению:

1. Сбор данных и сведений;
2. Формирование цели и задач;
3. Идентификация ИТ активов;
4. Составление реестра ИТ активов, значимых для данной ситуации;
5. Документирование и синтез полученной информации;
6. Обоснование и выбор метода по оценке рисков;
7. Предварительная оценка рисков и масштаба возможных проблем;
8. Выбор наиболее значимых рисков и дальнейший их анализ;
9. Выводы по проведенной работе для руководства. Резюме;
10. Планирование дальнейших работ;

Важнейшей частью работы является резюме рисков, которое необходимо представить руководству, принимающему «жизненноважные решения» по управлению и анализу рисками. На этом этапе работ, в доступной и наглядной форме должны быть описаны самые опасные для конкретной деятельности риски и ИТ активы, которые их «порождают». Дополнительное внимание руководства можно акцентировать на этом документе, приведя в нем возможную величину среднегодового ущерба, перечислив уязвимости, которые будут способствовать появлению заданных рисков.

На этом оценка рисков не заканчивается. Высокоуровневая оценка, расставившая приоритеты, выявившая и обосновавшая группы рисков, которые имеют наибольшее значение для организации, может быть достаточной для организаций, с относительно низкой степенью зависимости от информационных технологий, для остальных же потребуется более низкоуровненая оценка.

Обработка информационных рисков

Оценка информационных рисков дает ответы на вопросы, связанные с информационными активами, направлением защиты от рисков, которым подвержены данные активы и то, от чего именно следует защищаться. После этого успех поставленных целей будет зависеть от того, какая стратегия защиты будет выбрана. Для того, чтобы наиболее оптимально выбрать стратегию защиты риск должен быть «разложен» на качественную и количественную составляющие.

Целью обработки рисков является выявление метрик, с помощью которых становится возможным уменьшить до приемлемого для организации уровня или устранить возможный ущерб.

Итогом процесса обработки риска должно стать решение о том, до какой степени детализации и дальнейших действий над ним, необходимо будет подвергнуть тот или иной риск. Данное решение должно быть принято ответственными исполнителями, в зависимости от имеющейся у них информации, и в дальнейшим пройти согласование с лицами, принимающими решение.

Виды анализа информационных рисков. Обзор

Каждый риск, в зависимости от изученности и степени влияния на анализируемую активность, должен подвергнуться определенному типу исследования. Чем с более сложным, комплексным и малоизученным риском сталкивается организация, тем более подробно он должен быть изучен и исследован.

На текущий момент, наиболее популярным и экономически оправданным является следующая классификация анализов рисков по типам работы над ними:

• качественный;
• количественный.

Качественный и количественный анализы являются взаимно дополняющими видами анализа, представляя собой последовательные этапы единого и самодостаточного процесса работы над рисками.

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту или процессу. При качественном анализе рисков определяются, описываются причины и факторы, влияющий на уровень данного вида риска и его влияние на деятельность в целом. Кроме того, желательно описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить дальнейшие варианты по работе над выявленными рисками. Стоимостная оценка может быть представлена виде абсолютной шкалы, так как цель качественного анализа рисков заключается в верхнеуровневом выявлении рисков.

Данный тип анализа, как правило, проводится на стадии разработки бизнес-плана, а предварительное исследование рисков позволяет сформировать базисную информацию для начала работы над рисками. К дополнительным, но также весьма значимым, результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Количественный анализ рисков предполагает численное определение величин реализации отдельных рисков, выявленных в результате качественного анализа рисков. Методы количественного анализа рисков основаны на строгих математических алгоритмах (метод Монте-Карло), теории вероятности, математической статистике, теории исследований операций и т.д., которые реализуют и поддерживают определение числовых метрик, описывающих возможный потенциальный и явный ущерб от осуществления риска.

Для того, чтобы количественный анализ рисков был выполнен наиболее эффективно и смог достигнуть результатов своего выполнения необходимы два условия:

• наличие проведенного базисного расчета проекта и его последовательностей;
• проведение полноценного качественного анализа.

Таким образом, уместно будет отметить, что количественный анализ рисков выполняется только при условии выполненного качественного анализа рисков. Этот вид анализа является более дорогим и требовательным к исходным данным, по сравнению с качественным, что делает его менее доступным для широкой аудитории специалистов. Количественный анализ рисков целесообразен для выполнения только в крупных компаниях, заинтересованным в «зрелых» и качественных результатах деятельности по работе с рисками.

Выводы

Сегодняшняя статья стала введение в активность анализа рисков, послужив «мостом» между процессом оценки рисков и рассмотрением видов анализа рисков, проводить которые оправданно, в зависимости от целей процесса управления и анализа рисков, которые преследует организация, выполняющая данную активность.

Выбор конкретного метода анализа рисков, по нашему мнению, зависит от следующих факторов, влияющих на качество выполняемой деятельности:

• Полнота и подробность информационной базы исследуемой области;
• Требований к конечным результатам (показателям);
• Уровень квалификации персонала;
• Финансирование;
• и т.д.

Для небольших проектов можно, а в некоторых случаях даже нужно, ограничиться простыми методами анализа рисков, которые оправданны окружением и видом процесса\проекта, для которого осуществляется анализ рисков. В случаях, для которых необходим более тщательный анализ рисков простыми методами будет не ограничиться, и следует привлечь более сложные методики.

Методы анализа рисков следует применять комплексно, используя наиболее простые из них на стадии предварительной оценки (качественный анализ), а сложные и требующие дополнительной информации - при окончательном обосновании выбранного пути проекта или процесса (количественный анализ).

В следующий раз мы посвятим большее количество времени и вашего внимания рассмотрению качественного анализа рисков, сосредоточив Ваше внимание на конкретных методиках и описанию активностей, способствующих данному анализу рисков.