Матрица рисков – это?

13 декабря 2021

Матрица риска представляет собой специальную систему, которая позволяет с достаточно большой долей правдивости определять вероятность возникновения рисков на предприятии в той или иной сфере его деятельности. Она очень полезна при планировании, рассмотрении потенциально выгодных проектов и тому подобных элементов работы любой организации. Чтобы максимально точно понимать все особенности этого инструмента, необходимо понимать всю систему планирования, как она осуществляется, зачем нужна, на что ориентируется и как действует в тех или иных обстоятельствах. Понимание только одного из указанных элементов не сможет дать полной картины, так как именно в этом случае важным является сбор всей информации и ее обобщение в единую форму. Только она сможет показать ситуацию наиболее реалистично в разрезе тех или иных событий, ситуаций, происшествий и тому подобного.

Понятие риска

Прежде, чем переходить к матрице определимся с пониманием риска в контексте деятельности компании. Риск – это неопределенное внешнее или внутреннее событие, влияющее на достижение целей компании. Уточним два момента:

  • Слово «неопределенное» означает, что событие может произойти, а может не произойти. Вместо слова «неопределенное» можно поставить слово «вероятностное».
  • Речь идет о событиях, которые влияют на достижение целей компании. Если компания не ведет и не планирует деятельность в Южной Америке, то экономический кризис в Бразилии не стоит учитывать в плане реагирования на возможные угрозы.

Их оценивают через две характеристики:

  • Величина возможного ущерба;
  • Вероятность реализации риска (возникновения события);

Таким образом, риск – это комбинация вероятности и последствий. Соответственно матрица отражает различные варианты этой комбинации.

Что такое матрица риска?

Матрицу риска ещё называют картой рисков, так как она похожа на сетку, на которой присутствует определенная информация обо всех вероятных проблемах. Они могут как существовать на момент составления, так и быть прогнозируемыми. Разделяется матрица риска по трем основным категориями: уровням, вероятности и последствиям. О каждом из этих пунктов будет более детально рассказано ниже.

Данный инструмент оценки возможных проблем во многих компаниях является основным источником информации, которая принимается во внимание во время рассмотрения возможности реализации того или иного проекта. Как правило, на основании всего указанного в карте-матрице, руководство имеет возможность выдать максимально эффективное и разумное решение, способное устроить обе стороны контракта. То есть, сотрудники компании, ответственные за данный инструмент, обязаны относиться к собственной работе максимально ответственно, ведь их данные будут влиять на все развитие предприятия, получение им доходов и так далее.

В то же время, если какие-то показатели будут сознательно занижены и неблагоприятное событие приведет к значительным убыткам, они также будут нести ответственность, при условии, что все это действительно можно было спрогнозировать.

Для чего нужна матрица рисков?

Матрицу рисков используют для следующих целей:

  • Удостовериться, что существенные угрозы находятся под контролем;
  • Расставить приоритеты в мероприятиях по снижению негативных факторов;
  • Убедиться, что ресурсы, затрачиваемые на управление риском, соответствуют его оценке. Нередки случаи, когда вопросу на 10 тыс. рублей, уделяются внимание и ресурсы стоимостью на порядок больше. При этом критичные для бизнеса вопросы остаются без должного внимания.

Матрица риска – это инструмент процесса управления угрозами, предназначенный для повышения объективности его интерпретации. Чтобы поместить пункт в матрицу, необходимо присвоить ему рейтинг вероятности и величины ущерба.

Типичная классификация величины возможного ущерба:

  1. Несущественные (S1): не приносят реальных негативных последствий или не представляют существенной угрозы для организации или проекта;
  2. Малые(S2): имеют небольшой потенциал для негативных последствий, но не окажут существенного влияния на общий успех;
  3. Умеренные(S3): могут привести к негативным последствиям, создавая умеренную угрозу для проекта или организации;
  4. Критические(S4): с существенными негативными последствиями, которые будут серьезно влиять на успех организации или проекта (необходимость закрыть проект или большое количество негативных событий);
  5. Катастрофические(S5): с крайне негативными последствиями, которые могут привести к закрытию или долгосрочному сбою деятельности всей компании. Требуют наибольшего внимания и ресурсов.

Типичная классификация вероятности реализации события:

  1. Маловероятно (L1): крайне редкие, почти без вероятности возникновения;
  2. Редко (L2): имеют небольшой шанс проявления;
  3. Вероятно (L3): случаются с вероятностью 30-50%;
  4. Часто (L4): могут произойти с большой вероятностью;
  5. Определенно (L5): почти наверняка проявятся и неизбежны.

Основные особенности матрицы риска

Матрица риска подразумевает предварительное и последовательное выполнение ряда определенных действий. Первым делом должна быть проведена идентификация. То есть все вероятные риски необходимо перечислить и определить.

Следующий этап — оценка опасности. В рамках этого пункта ранее отобранные вероятные проблемы разбиваются по степени их угрозы для проекта, жизни, здоровья и финансов компании. После этого следует четко продумать возможные действия, которые могут быть направлены на минимизацию вреда. То есть, если можно, сделать так, чтобы проблема не возникла в принципе. Как вариант — продумать схему реакций, которые необходимо будет осуществить, если ситуация все же возникнет.

Последний и самый длительный этап — контроль выполнения. Если подразумеваются действия, которые сведут риск и неопределенность к нулю или минимуму, то их нужно проверить. Если же это невозможно, то нужно будет постоянно или на ключевых этапах реализации проекта проводить дополнительные проверки. Они смогут своевременно выявить возникающие проблемы.

Матрица рисков: определение приоритетов

После того, как каждый пункт помещен в матрицу, мы можем назначить ему общий «рейтинг рисков» по приоритетам. Угрозы, которые имеют серьезные негативные последствия и могут возникнуть с высокой вероятностью, получают самый высокий рейтинг. Риски с низким влиянием на деятельность компании и низкой вероятностью получают самый низкий рейтинг.

На практике нередко используют числовую шкалу для присвоения более конкретного рейтинга. Однако чаще всего они делятся на несколько широких категорий, которые часто имеют цветовую кодировку.

Рейтинги, представленные в таблице, можно описать в следующем порядке:

  1. Низкий: последствия незначительны, и вряд ли это произойдет. Эти типы угроз, как правило, игнорируются и часто имеют зеленую цветовую кодировку.
  2. Средний: вероятность возникновения не позволяет их игнорировать, а последствия могут быть ощутимыми. Если возможно, необходимо принять меры для предотвращения возникновения средних рисков, но следует помнить, что они не являются приоритетными и не могут критично влиять на успех организации или проекта. Часто имеют цветовую маркировку желтого цвета.
  3. Высокий: имеют серьезные последствия и вполне вероятно реализуются. На них следует реагировать в ближайшем будущем. Они часто окрашены в оранжевый цвет.
  4. Экстремальные: катастрофические риски, которые имеют серьезные последствия и имеют высокую вероятность возникновения. Имеют высший приоритет. Могут угрожать существованию организации или успешности выполнения большей части поставленных задач. Следует немедленно предпринять меры по устранению или снижению возможных последствий. Их часто окрашивают в красный цвет.

Числовое обозначение помогает определить приоритеты среди угроз с одинаковой характеристикой. Например, для двух рисков матрицы L4S1 и L1S5 приоритет будет отдан пункту со значением матрицы L1S5, так число у него больше.

Специальные матрицы рисков

Матрица рисков может специально быть структурирована иначе. Нередко компании разделяют угрозы на зоны:

  • Приемлемые (General Acceptable): в этой зоне угрозы незначительны и / или маловероятны. Риски в этом регионе не представляют непосредственной угрозы для проекта или организации, и некоторые из них можно игнорировать.
  • Минимально допустимые (As Low As Reasonably Possible – ALARP): это зона приемлемого риска, охватывающая «низкие» и «средние» рейтинги. Проблемы, попадающие в эту область матрицы, терпимы или не наносят значительного ущерба; работа может продолжаться без немедленного устранения.
  • Неприемлемые (Generally Unacceptable): область, где риск является «высоким» или «экстремальным». Компания обязана в краткосрочном периоде устранить пункты этой зоны или минимизировать.

В каждой компании выбор подхода индивидуален. После выбора вида формируется общий реестр, в рамках которого указываются результаты анализа, а также определяются меры по минимизации.

Матрица риска – это всего лишь инструмент, помогающий принимать решения. Команда должна всегда тщательно анализировать матрицы и сами риски, прежде чем решать, как предотвратить, смягчить или отреагировать на текущую или потенциальную ситуацию.

Матрицы рисков обычно используются в управлении проектами для изучения того, как угрозы могут влиять на масштаб, график и стоимость проекта. Но они также используются в операционной деятельности различных отраслей от строительства до IT.

Например, матрица рисков IT-компании сопряжена с множеством уникальных ситуаций. В современной среде, управляемой данными, последствия часто бывают серьезными. Угрозы данным, системам и сетям происходят из разных источников, начиная от стихийных бедствий и заканчивая сбоями оборудования. Однако в ИТ многие уязвимости связаны с человеком, например:

  • Внешние: хакеры или ненадежный провайдер различных услуг;
  • Внутренние: бывшие сотрудники, у которых все еще есть учетные данные или скрытая существенная информация;
  • Доверенные инсайдеры: текущие сотрудники, которые получают несогласованный доступ.

Матрица рисков может описываться дополнительными параметрами влияния на пользователей или внутренний штат сотрудников. Шаблон реестра может, например, выглядеть следующим образом:

Как создать матрицу рисков?

Чтобы создать матрицу риска, необходимо оценить вероятность возникновения рисков и степень ущерба. Затем отдельные риски вводятся в систему координат в соответствии со значениями на сторонах матрицы.

Оценка вероятности возникновения на матрице риска

Существует пять уровней вероятности, которые отражаются на матрице риска. Они выражены в процентах:

0-20% — невозможно,

21-40% — маловероятно,

41-60% — возможно,

61-80% — вероятно,

81-100% — весьма вероятно.

Уровень вероятности основывается на количественных данных, которые вы получаете от проекта.

Оценка степени ущерба на матрице риска

Точно так же на матрице риска, можно разделить на пять уровней степень ущерба: низкая, средняя, ​​высокая, очень высокая и критическая.

Каждый уровень степени ущерба должен быть описан точно, чтобы распределить соответствующие риски. Например, при оценке нужно учитывать, приводит событие к длительным последствиям или краткосрочным, как быстро можно исправить ущерб.

Затем устанавливается эталонное значение: понятное событие, степень ущерба от которого и вероятность наступления вам понятна. От него откладываются другие риски.

Построение диаграммы матрицы риска

У матрицы рисков нет стандартного внешнего вида. Обычно делают квадрат 5х5, в котором события можно распределить по 25 ячейкам.

Например, над вашим проектом трудится 5 человек. Каждый из них занимается одной сферой разработки и заменить другого никто в коллективе не может. Кандидатов на рынке труда не так много, потому что ваш проект сложный. В этом случае риск — увольнение сотрудника или его продолжительная болезнь. Это событие застопорит разработку, и вам кажется, что это будет очень высокий ущерб для проекта. Вероятность наступления события зависит как от ваших условий труда и зарплат, так и от амбиций и личности сотрудников. Возможно, вероятность наступления около 21-40%. Таким образом, это средний уровень риска.

Как управлять матрицей риска?

На матрице все риски располагаются в разных цветовых зонах:

  • зелёные — там, где не требуется никаких мер,
  • жёлтые — риски, которые нужно уменьшить,
  • красные — это неприемлемые риски, которые прямо угрожают проекту.

Это разделение несколько условно, но делает процесс управления рисками более понятным и прозрачным.

Риски из зоны выше нужно переводить в зону ниже (из красной в жёлтую, из жёлтой в зелёную). Для этого выполняется анализ затрат и разрабатывается стратегия по устранению рисков. Как правило, степень ущерба уменьшить нельзя, но можно работать над вероятностью возникновения.

Риск из примера выше можно перевести в зелёную зону, если уменьшить вероятность наступления до 0-20%. Сотрудники не захотят уходить без видимых причин, если у них конкурентные зарплаты, хорошие условия в офисе и интересные задачи.

Риски из красной зоны переводятся в жёлтую. Например, риск нарушения безопасности часто возникает у молодых проектов, команды которых не заботились о безопасности, пока проект был небольшим. Но если сервис выстреливает, на него обращается множество глаз, в том числе и злоумышленников. В таким случае устранение проблем с безопасностью — первостепенные меры. Если внутренних сил не хватает, необходим внешний аудит и аутсорс.

Если не отслеживать риски, то их невозможно будет устранить. Для проекта важно знать о своих слабых сторонах и работать над ними. Матрица рисков как раз тот инструмент, который помогает начать работу над этой областью управления проектом.

Матрица рисков как инструмент цифрового управления

В общем случае можно использовать разные методы оценки и управления рисками: имитационное моделирование, системы массового обслуживания, оценку устойчивости структурных схем последовательно-параллельного соединения компонентов и другие.

В качестве инструмента цифрового управления рассматривается «жанр» матриц риска и его возможности для улучшения бизнеса. Фактически новая форма позволяет матрице рисков уйти от роли «жупела» и стать нормальным инструментом цифрового управления бизнесом. Одним из многих для современного бизнеса.

Для этого необходимо поменять методику исчисления ущерба, сделав упор на проверяемые количественные значения по сравнению с ориентацией на качественные экспертные оценки.

Проблемы матрицы рисков

У матрицы рисков имеются несколько проблемных математических особенностей, затрудняющих оценку рисков. Эти:

  • Плохое разрешение. Типичные матрицы рисков позволяют правильно и однозначно сравнивать только небольшую часть (например, менее 10%) случайно выбранных пар опасностей. Они могут присвоить одинаковые рейтинги очень разным в количественном отношении рискам («сжатие диапазона»).
  • Ошибки. Матрицы рисков могут ошибочно присваивать более высокие качественные рейтинги количественно меньшим рискам. Для рисков с отрицательно коррелированными частотами и серьезностью они могут быть «хуже, чем бесполезны», что приводит к принятию решений хуже, чем случайные.
  • Неоптимальное распределение ресурсов. Эффективное распределение ресурсов для контрмер по снижению риска не может быть основано на категориях, предусмотренных матрицами рисков.
  • Неоднозначные входы и выходы. Категоризация серьезности не может быть объективно сделана для неопределенных последствий. Входные данные для матриц рисков (например, категоризация частоты и серьезности) и результирующие выходные данные (например, рейтинги рисков) требуют субъективной интерпретации, и разные пользователи могут получить противоположные оценки одних и тех же количественных рисков. Эти ограничения предполагают, что матрицы рисков следует использовать с осторожностью и только с подробным объяснением встроенных суждений.

Рейтинги зависят от структуры самой матрицы рисков, например от того, насколько велики ячейки и от того, используется ли шкала увеличения или уменьшения. Другими словами, изменение масштаба может изменить ответ.

Дополнительной проблемой является неточность категорий вероятности. Например; «определенный», «вероятный», «возможный», «маловероятный» и «редкий» иерархически не связаны. Лучший выбор может быть получен за счет использования одного и того же базового термина, такого как «чрезвычайно часто», «очень часто», «довольно часто», «менее распространенный», «очень необычный», «чрезвычайно необычный» или аналогичной иерархии в базовый термин “частота”.

Другой распространенной проблемой является присвоение индексов ранжирования осям матрицы и умножение индексов для получения «оценки риска». Хотя это кажется интуитивно понятным, это приводит к неравномерному распределению.

Заключение

Матрица рискаинструмент, который позволяет репрезентативно ранжировать угрозы и, как следствие, эффективнее расходовать ресурсы. Выбор вида матрицы, ранжирование и способы реагирования – индивидуальны для каждой компании. Тщательный анализ и управление уязвимостями окупаются за счет более эффективного использования ресурсов.

 

Источники:

  • https://www.fd.ru/articles/159502-matritsa-riskov-kak-sozdat
  • https://fb.ru/article/264337/matritsa-riska-harakteristika-analiz-i-otsenka-riskov
  • https://zen.yandex.ru/media/id/5b86398716027100aaeb711f/matrica-riskov-dlia-vizualizacii-riskov-na-odnom-grafike–5bebcce1059a5400a9f322de
  • https://ru.abcdef.wiki/wiki/Risk_matrix
  • https://habr.com/ru/post/533628/

Оцените статью:
[Всего голосов: 0    Средний: 0/5]