2. Анализ идентифицированных рисков, их оценка, расчет совокупного риска. Часто это наиболее сложный этап управления риском, так как нужно решить а) какие модели с какими предположениями использовать для каждого вида риска, б) какой информацией обладаем или в) должны собрать для оценки риска.
3. Принятие решений о проведении или не проведении операций, подверженных риску; установление процедур и лимитов, то есть установление правил, по которым производятся те или иные действия в зависимости от оценки связанных с ними рисков.
4. Контроль за соблюдением установленных процедур и лимитов.
5. Постоянный мониторинг и оптимизация установленных процедур и ограничений.
Меры по уменьшению рисков
Цель построения системы управления рисками состоит в их разумной минимизации при заданных темпах развития бизнеса. Дело в том, что минимальный уровень рисков, который может нести организация – нулевой уровень. Он достигается, когда организация ликвидируется, прекращает свою деятельность. Нет деятельности, нет и рисков. Если организация работает, то она обязательно несет предпринимательский и операционный риски. Любая коммерческая деятельность (связанная с зарабатыванием прибыли) в своей основе несет риск.
Следовательно, цель управления рисками состоит не в их минимизации, а в их уменьшении до приемлемого уровня, нахождении компромисса между принимаемым риском и ожидаемой доходностью.
Общая схема действий, которые должны выполняться системой управления рисками, приведена в предыдущем разделе, а результатом ее работы должны стать конкретные мероприятия. Однако в каких-то случаях очевидно, что ряд мер по управлению рисками можно провести до их четкой идентификации и оценки, так сказать, реализовать минимальный «джентльменский» набор мер, являющихся обычными, типичными. Например, для резкого уменьшения риска краж и взломов, несанкционированного проникновения людей и утечки информации необходимо, как минимум, нанять охрану офиса. Для уменьшения юридического риска необходимо, чтобы проект каждого соглашения, подписываемого организацией, проходил юридическую экспертизу. Для уменьшения риска мошенничеств, кражи данных в электронном виде требуется ввести систему защиты компьютеров организации путем введения разграничения прав доступа.
Эти меры помогут изначально уменьшить значение многих рисковых факторов. При этом упростится оценка рисков – уже не надо будет принимать во внимание первоначальные опасности, а оценивать только оставшиеся – более понятные и более типичные. Дальнейшие меры по уменьшению рисков необходимо проводить только после оценки рисков, так их стоимость может быть несоизмерима с размерами рисков.