DTR009 Стратегии управления риском

Downloadable PDF Resources

  1. English
  2. English/Spanish
  3. English/Russian

This module will take you through the Стратегии управления риском.

  1. Введение
  2. Пять стратегий управления риском
  3. Избежать
  4. Уменьшить
  5. Разделить
  6. Уступить
  7. Удержать
  8. Итоги
  9. Основные положения

 

нформация, содержащаяся в данном документе, является частью аккредитованного IQ курса
«Сертификат 4-го уровня по усовершенствованию управления рисками и кризисной ситуацией»

Введение

Хотя первостепенная задача управления безопасностью может быть воплощена в слогане «Снизить риск, повысить безопасность», решение, какой является наиболее подходящим подходом, зависит от целого ряда факторов, в том числе от оперативной среды, организационной культуры риска, ресурсов, поддержки управления, потенциальных потерь и других (конкурирующих) стратегических целей. Например, это могло быть частью стратегических целей компании развивать деятельность на новых рынках Восточной Европы или Африки. Там, очевидно, будет существовать риск, связанный с этими движениями, которые не были бы применимы в работе в Великобритании или развитой западной стране. Тем не менее, возможно, эти дополнительные риски могут считаться приемлемыми руководством компании в рамках проекта по развитию бизнеса, и это будет ответственность менеджера безопасности разработать соответствующую стратегию для управления этими рисками в соответствии с более широкими стратегическими целями компании.

Учитывая, что невозможно устранить риск полностью, наступает момент, когда должно быть принятие определенной степени риска — или, по крайней мере, неопределенности. Для того чтобы сохранить управление рисками в соотношении к ситуации в реальном мире, существует признанная концепция «практически достижимого низкого уровня» (ALARP). Это означает, что в то время как мы несем ответственность в выявлении и управлении рисками, от нас не ожидается пытаться устранить каждый мыслимый риск, какой бы низкой не была его вероятность.

Introduction

Although the overriding objective of Security Management could be encapsulated in the slogan ‘Reduce Risk, Increase Safety’, deciding which is the most appropriate approach is dependent on a wide range of factors, including operating environment, organisational risk culture, resources, management support , potential loss and other (competing) strategic objectives. For example, it may be part of the company’s strategic objectives to develop operations in new markets in Eastern Europe or Africa. There would obviously be a risk associated with these moves that would not be applicable in working in a UK or a developed western European market. However, it may be that these additional risks may be considered as acceptable by the company’s management within the context of the business development project, and it would be the responsibility of the security manager to develop an appropriate strategy to manage those risks in line with the company’s wider strategic objectives.

Given that it is impossible to completely eliminate risk altogether, there comes a time when there must be an acceptance of a certain level of risk – or at least, uncertainty. In order to keep risk management relevant to situations in the real world, there is a recognised concept of ‘As Low As Reasonably Possible’ (ALARP). This means that whilst we have a responsibility to both identify and manage risk, we cannot be expected to try and eliminate every single conceivable risk, however low its possibility might be.

Пять стратегий управления риском

Есть целый ряд способов, с помощью которых потенциальные стратегии управления рисками могут быть отнесены к категориям, хотя большинство моделей обычно используют от четырех до шести различных подходов. Ниже — пять из наиболее широко распространенных вариантов. В процессе того, как вы будете знакомиться с курсом обучения, вы увидите их появляющимися снова и снова в разных контекстах управления безопасностью.

Five Risk Management Strategies

There are a number of ways that potential risk management strategies can be categorised, though most models generally consist of between four and six different approaches. Here are five of the most widely accepted options. As you work through the study course, you will recognise these as coming up time and again within different security management contexts.

Избежать

Это делается путем признания риска, изменив свою собственную деятельность, с тем чтобы избежать возможность возникновения инцидента. Примеры могут включать в себя, как указано выше, отказ от выхода на новые рынки, запрет на использование персональных компьютеров, чтобы свести к минимуму возможность электронного вируса, заражающего компьютерную систему компании, или ограничивание посещения производственного объекта определенными участками, независимо от того, делается ли это с целью избежать промышленного шпионажа или же предотвратить потенциальную аварию.

Avoid

This is done by acknowledging the risk, and changing your own activities in order to avoid the possibility of an incident occurring. Examples might include not moving into new markets in the example above, banning the use of personal computers in order to minimise the possibility of an electronic virus contaminating the company computer system, or keeping visitors to a production facility restricted to certain areas, whether to avoid industrial espionage or potential accidents.

Уменьшить

Это делается путем введения протоколов, чтобы минимизировать возможность нежелательного события, а также свести к минимуму влияние любого нежелательного события, которое происходит. Например, если у компании имеются рабочие, которые посещают внешние участки в одиночку, и это было определено как потенциальный риск, требуя от них сообщать о свои движения отделу кадров или безопасности заранее, а затем звонить до и после посещения, то эти меры позволят снизить вероятность, что что-то произойдет во время этих визитов, и ограничит потенциальный ущерб, если что-то вдруг произойдет (позволяя отделу кадров или отделу безопасности быть осведомленными о ситуации в кратчайшие сроки). Точно так же, введение процесса «встречи посетителя по прибытии» к главным воротам снижает риск потенциально нежелательных посетителей, получающих доступ к зданию

Reduce

This is done by introducing protocols to minimise the possibility of an unwanted event happening, and to minimise the impact of any unwanted event that does happen. For example, if a company had lone workers who were visiting outside sites, and had identified that as a potential risk, requiring them to log their movements ahead of time with the HR or security department, and then calling in both before and after the visit would reduce the likelihood of something happening during those visits, and would limit the potential harm if something did happen (by allowing the HR or security team to become aware of the situation at the earliest possible moment). Similarly, introducing a ‘Meet & Greet’ process at the front gate reduces the risk of potentially unwanted visitors gaining access to a building.

Разделить

Многие стратегии управления риском, которые были приняты в более широких рамках управления безопасностью изначально применялись в области управления цепочками поставок. Особенность УЦП в том, что каждый игрок зависит от следующего звена в цепочке, так что конечный «клиент», который ждет доставки жизненно важной части груза, относительно бессилен контролировать этот процесс. Концепция совместного риска на самом деле больше привлекательна из-за своей составляющей, выраженной в общих потенциальных потерях. Согласно этой системе, каждый игрок будет сталкиваться с финансовым штрафом, если он не обеспечивает поставку в соответствии с согласованными условиями. В более широком контексте управления безопасностью, разделение риска может рассматриваться как способ минимизации потенциальных обязательств.

Share

Many of the risk management strategies that have been accepted within the wider security management framework originally started in Supply Chain Management. It is a feature of SCM that each player is dependent on the link before them in the chain, so that the final ‘customer’ who is waiting delivery of the vital piece of stock is relatively powerless to control that process. The concept of sharing the risk is actually more concerned with sharing potential loss. Under this system, each person would face financial penalties if they did not deliver according to agreed terms. Within a wider security management context, sharing risk can be seen as a way of minimising potential liabilities.

Уступить

Уступив риск, вы фактически перекладываете с себя ответственность за управление риском, а также за любые возможные последствия. Использование специализированного агентства по антикризисному управлению, чтобы справиться с кризисными ситуациями за рубежом, является примером разделения потенциальной ответственности за экстренную эвакуацию, в ситуации, когда было бы безответственно игнорировать потенциальный риск, но неосуществимо управлять ею внутри компании. Другим примером может быть решение о том, следует ли использовать автомобильную лизинговую компанию для обеспечения служебного парка машин, или же выкупить и владеть им. Используя лизинговые автомобили, управление рисками — поломками, авариями, обслуживанием и т.д. — передается лизинговой компании. Одним из преимуществ этой системы является то, что существует четко определенная стоимость данного выбора –вы платите месячные взносы агентству за услуги, которые они предоставляют.

Transfer

By transferring risk, you are in effect outsourcing the responsibility for the management of the risk, and any possible consequences. The retention of a specialist crisis management agency to handle crisis situations overseas is an example of sharing the potential liability for emergency evacuations, in a situation where it would be irresponsible to ignore the potential risk, but unfeasible to manage it in-house. Another example would be the decision as to whether to use a car-leasing company for the company fleet, or to own the cars outright. By using a fleet-hire system, the management of the risks – breakdowns, accidents, servicing, etc — is transferred to the leasing company. One advantage of this system is that there is a clearly defined cost to this particular option – the fee you pay to the agency for the service that they provide.

Удержать

Есть две причины для удержания риска. Одна из них заключается в подходе: «мы будем иметь дело с этим, когда оно произойдет», так как потенциальная вероятность того или иного потенциального воздействия настолько низка, что она считается приемлемой. Это на самом деле очень эффективное средство борьбы с рисками низкого уровня, поскольку потенциальные последствия таких рисков хорошо изучены, и существуют четкие протоколы для борьбы с ними. Например, если в приведенном выше примере компания решает иметь свои собственные автомобили, а не брать их в аренду, то риски, связанные с этим решением, будут приняты как часть большего процесса управления рисками, но также будут четко определены протоколы на случай возникновения таких ситуаций.

Другая причина удерживать риск возникает тогда, когда нет практически осуществимого способа им управлять через другие перечисленные стратегии. Например, риск похищения топ менеджера должен был бы управляться в том случае, если бы он работал в Сомали или Судане, где такие риски — реалистичная оперативная составляющая, но не обязательно должен бы быть частью стратегии управления рисками в Нью-Йорке или Цюрихе. Может быть принято решение о том, что низкая вероятность там такого инцидента перевешивает чрезмерно высокую стоимость страхования от такой ситуации.

Retain

There are two reasons for retaining risk. One is because the potential likelihood or potential impact is so low as be deemed acceptable – the ‘We will deal with it if it happens’ approach. This is actually a very effective means of dealing with low-level risks, as long as the potential consequences of such risks are well understood, and there are clear protocols in place for dealing with them. For example, if in the example above the company decides to own their own cars rather than lease them, then the risks associated with that decision would be accepted as part of the greater risk management process, but there would also be clearly defined protocols in place for when those situations did occur.

The other reason for retaining risk is if there is no feasible way of managing it though any of the other strategies listed. For example, the risk of an executive being kidnapped is one that would need to be managed if they were working in Somalia or Sudan, where such risks are a realistic part of operating in that region, but would not necessarily be part of the risk management strategy in New York or Zurich. It may be decided that the low likelihood of such an incident occurring there outweighs the prohibitive cost of insuring against such a situation.

Итоги

Современное управление безопасностью выросло за рамки традиционных понятий простой защиты собственности, услуг и персонала. Спектр современных рисков создает проблемы, которые требуют комплексного и профессионального подхода к управлению безопасностью, который находится на одном уровне с любым другим аспектом оперативного управления организации. Современный менеджер по безопасности должен иметь четкое понимание основных принципов, которые создают основу для эффективного управления безопасностью, и эта программа введет эти принципы в структурированном виде в течение следующих модулей.

Summary

Modern security management has grown beyond traditional concepts of merely protecting property, services and personnel. The range of present-day risks is creating challenges that require a fully integrated and professional approach to security management that is on par with every other aspect of an organisation’s operation management. The modern security manager needs to have a strong understanding of the underlying principles that create the foundation for effective security management, and this programme will introduce those principles in a structured way over coming modules.

Основные положения

  • Управление безопасностью – это всегда баланс между Свободой и Безопасностью
  • Соответствующие уровни безопасности могут обсуждаться только с точки зрения предполагаемых Риска / Угрозы
  • Нет такого понятия, как полное устранение риска, лучшее, к чему мы можем стремиться — это «практически достижимый низкий уровень»
  • Основные стратегии управления риском включают: Избежать, Уменьшить, Разделить, Уступить, Удержать

Main Points

  • Security Management is always a balance between Freedom and Security
  • Appropriate levels of security can only be discussed in terms of the Perceived Risk / Threat
  • There is no such thing as total elimination of Risk, the best we can aim for is ‘As Low As Reasonably Possible’
  • Major RM strategies include Avoid, Reduce, Share, Transfer, Retain