Остаточный риск - это риск, который сохраняется после применения инструментов контроля за присущим риском.
Общее представление об остаточном риске
В практике управления рисками принято различать два вида риска: первичный (присущий) риск и остаточный риск. Первичный риск имеет место в самом начале процесса управления рисками, т.е. данный вид риск изначально присущ управляемой ситуации. После того, как в отношении первичного риска организация осуществляет мероприятия по контролю и применяет соответствующие инструменты, возникает остаточный риск.
Остаточный риск представляет собой риск, который остается после принятия мер по снижению первичного риска, т. е. организациям вне зависимости от выбранной ими стратегии по снижению риска в любом случае придется смириться с остаточным риском и иметь с ним дело.
Остаточный риск всегда должен приниматься во внимание организациями, поскольку практически неосуществима обработка всех рисков из-за ее высокой стоимости. Кроме того, невозможной является полная нейтрализация последствий реализации какого-либо определенного риска из-за присущих неопределенностей.
Следствием остаточных рисков являются функциональные и эксплуатационные воздействия, которые организациям приходится допускать, прежде всего, на этапах планирования и проектирования своей хозяйственной деятельности.
Классическая формула расчета остаточного риска предполагает, что из стоимости первичного риска вычитается стоимость мероприятий по снижению риска. Рассмотрим этот расчет на примере.
Пусть риск разрушения строящейся плотины составляет 12 миллионов долларов. Для того чтобы избежать разрушения (т. е. снизить риск), проводят проверки технического обслуживания, обучают рабочую силу на месте, обновляют и ремонтируют конструкцию. Совокупная стоимость данных операций составляет 8 миллионов долларов. Тогда величина остаточного риска будет равна 4 миллиона долларов.
Определение остаточного риска является важным направлением работы всех современных организаций в сфере управления рисками и обеспечения качеством. Это связано с тем, что его снижение является обязательным требованием международных стандартов ISO. Особенно это касается функционирования организаций в сфере информационной безопасности. Так, в соответствии со стандартом ISO 27001, прежде чем делиться данными с любыми поставщиками, организации в дополнение к внутренним процессам безопасности должны пройти остаточную проверку безопасности.
В качестве примеров остаточного риска можно назвать риски совершения нарушений третьими сторонами, риск потери работы заказчиком/получателем кредита, риск дорожно-транспортного происшествия и т. д.
Остаточный риск следует отличать от вторичного риска. Вторичный риск возникает как прямой результат действия, который был предпринят для смягчения существующей угрозы. В отличие от остаточного риска, он не связан с исходной угрозой — он связан с реакцией организации на эту угрозу, представленной в виде принятых конкретных мер.
Например, имеет место риск банкротства поставщика материалов. Для того чтобы избежать этот риск, было принято решение о заключении контракте с другим поставщиком. Однако вторичным риском в данном случае будет связан с качеством материала, который организация получит данного поставщика впервые (т.е. имеет место неопределенность).
Управление остаточным риском
Управление остаточным риском сводится к готовности организации скорректировать приемлемый уровень риска в любом заданном сценарии. При любом остаточном риске организации могут предпринять следующие действия:
- если организации предполагают, что остаточный риск ниже приемлемого уровня риска в любом начинании, то они признают достаточную эффективность внедренных средств контроля и снижение риска до приемлемого уровня, в следствие чего ими никакие действия не предпринимаются;
- если, по мнению организаций, остаточный риск все еще превышает допустимый уровень риска, то могут потребоваться новые или модифицированные средства контроля и процессы для снижения неотъемлемого риска до уровня, который считается приемлемым;
- если организации считают, что остаточный риск все еще превышает допустимый уровень риска, а стоимость необходимых средств контроля и контрмер слишком высока, то они могут принять решение о принятии риска, независимо от того, в какой величине он остается.
Ответственность за управление рисками (в том числе, остаточными рисками) несет высшее руководство организации. Оно должно выработать политику и цели организации в сфере управления рисками, обеспечить их объективную оценку, рассмотреть и утвердить мероприятия по снижению рисков.
Для того чтобы выявить первичные риски, рассчитать величину остаточных рисков и разработать меры управления ими, руководители организаций зачастую обращаются за услугами к специализированным консалтинговым компаниям, которые на основе накопленного опыта и за счет профессионализма своих специалистов могут дать качественные советы по риск-менеджменту.
В целом устранение остаточного риска начинается с определения организацией соответствующих требований, которые предъявляются к управлению, рискам, качеству. Далее необходимо установить сильные и слабые стороны системы контроля организации. После идентификации и признания существующих (первичных) рисков организации нужно определиться с уровнем собственного риск-аппетита. На этой основе выбираются доступные варианты компенсации неприемлемых остаточных рисков.
Таким образом, при управлении рисками в организации ее руководителям нужно иметь в виду, что даже после проведения мероприятий по минимизации рисков продолжает оставаться, так называемый, остаточный риск. Он требует применения по отношению к себе особых методов риск-менеджмента, поэтому владение навыками управления остаточными рисками тоже является одной из основных составляющих компетенции менеджера современной организации.