Текст книги "Теория и практика управления рисками организации"

Вопросы для самопроверки

1. В чем отличие интегративного анализа рисков от функционального и мер по их регулированию?

2. Каковы роль и место рейтинговых агентств в анализе факторов риска и оценке рисков в деятельности хозяйствующих субъектов?

3. В чем суть проблемы адекватности экономической информации о рисках и ее восприятия различными участниками реального рынка?

4. Что собой представляет (согласно Л. Ларушу) «презумпция невменяемости» финансовых управляющих и каким образом она влияет на оценку рисков их деятельности?

5. Чем интересен опыт корпорации «Российский никель» по созданию службы управления и прогнозирования рисков корпорации?

6. Какие вопросы необходимо в общем случае изучить при создании системы корпоративного риск-менеджмента?

7. Назовите и охарактеризуйте основные факторы образования рисков при использовании ИС при переходе экономической системы на инновационные принципы хозяйствования.

8. Проведите анализ предложений, рассмотренных в данной главе, по использованию ИС как фактора обеспечения инновационности экономической системы.

Рекомендуемая литература

1. Авдийский В.А., Безденежных В.М. Управление рисками компании. М.: Финансовый университет при Правительстве РФ, 2013.

2. Авдийский В.И., Герасимов П.А., Лебедев И.А. Анализ и прогнозирование рисков в системе экономической безопасности хозяйствующих субъектов: учеб. пособие. В 2 ч. М.: Финансовая академия при Правительстве РФ, 2007.

3. Альгин А.П. Риск и его роль в общественной жизни. М.: Мысль, 1989.

4. Балабанов И.Т. Риск-менеджмент. М.: Финансы и статистика, 1996.

5. Безденежных В.М. Включение социального сетевого капитала в общественную эффективность инновационной экономики. М.: РАГС, 2010.

6. Безденежных В.М. Учет особенностей формирования сетей собственности в ходе трансформации национальных экономик с целью предупреждения противозаконных действий. М.: Финансовый университет при Правительстве РФ, 2009.

7. Безденежных В.М., Дадалко В.А. Экономическая безопасность, финансовая стабильность и устойчивость как качество эффективности хозяйствующего субъекта // Экономические науки. 2009. № 12 (61). С. 186–192.

8. Гринберг Р., Косикова Л. Новые тенденции в экономическом сотрудничестве на постсоветском пространстве // Россия в глобализирующемся мире: экономические очерки. М., 2004.

9. Кастельс М. Становление общества сетевых структур // Новая постиндустриальная волна на Западе: антология; под ред. В.Л. Иноземцева. М.: Akademia, 1999. С. 492–505.

10. Материалы докладов по текущей и перспективной конкурентоспособности стран мира на комиссиях Центра глобальных индустрий Всемирного экономического форума в Давосе в период с 1998 по 2008 г. Вып. 1–28.

11. Овчинников В.В. Глобальная конкуренция. М.: ИНЭС, 2007.

12. Овчинников В.В. Проблемы повышения текущей и перспективной конкурентоспособности экономики РФ. – http://www.metal-profi.ru/ library/problemi_tekysch.htm. Дата обращения: 14.08.2016.

13. Овчинников В.В. Экономические сюжеты из эпохи великих потрясений. М., 2008.

14. Сильвестров С.Н. Перспективы конкурентоспособности российской экономики на формирующемся общеевропейском экономическом пространстве. М., 2005.

15. Социально-экономические риски: диагностика причин и прогнозные сценарии нейтрализации; под ред. В.А. Черешнева и А.И. Татаркина. Екатеринбург, 2010.

Глава 7
Стандарты управления как основа построения системы регулирования рисков

7.1. Стандарты, руководства и рекомендации по менеджменту риска, разработанные профессиональными объединениями

Развитие риск-стандартизации в России и за рубежом. В России риск-менеджмент как технология эффективного управления последние 15 лет переживает период своего активного становления: создаются профессиональные объединения и организации, ориентированные на решение отдельных задач в области управления рисками, регулярно проводятся конференции и выпускаются научно-практические журналы; крупные российские организации, представляющие различные отрасли отечественной экономики, инициируют создание корпоративных систем управления риском. В данный процесс активно включаются западные консалтинговые компании, предлагающие модели успешной зарубежной практики. В этих условиях особую важность приобретает проблематика формирования единого понимания цели и задач риск-менеджмента, применяемой терминологии, организационной структуры и самого процесса риск-менеджмента, адаптированных к современным российским условиям. Мировая практика предлагает один из универсальных подходов к решению данной проблемы – унификация и стандартизация в области управления рисками.

Согласно определению Международной организации по стандартизации (ISO – ИСО), стандарт — нормативный документ, который разработан на основе консенсуса, принят признанным на соответствующем уровне органом и устанавливает для всеобщего и многократного использования правила, общие принципы и характеристики, касающиеся различных видов деятельности или их результатов, и который направлен на достижение оптимальной степени упорядоченности в определенной области деятельности. Стандарты должны быть основаны на обобщенных результатах науки, техники и практического опыта и направлены на достижение оптимальной пользы для общества[167]167
  ГОСТ 1.1–2002 «Межгосударственная система стандартизации. Термины и определения».


[Закрыть].

Стандартами в области риск-менеджмента предусматривается унификация используемой терминологии в данной области, составляющих процесса управления рисками, подходов к построению организационной структуры риск-менеджмента[168]168
  ISO/IEC GUIDE 73:2002. Risk management – Vocabulary – Guidelines for use in Standards. International Organization for Standardization, 2002 / Гармонизированный ГОСТ Р 51897– 2002 «Менеджмент риска. Термины и определения».


[Закрыть]. В последние годы отчетливо проявилась тенденция к массовому тиражированию стандартов управления рисками, изданных за рубежом 15–20 лет назад и касающихся преимущественно техногенных опасных факторов. К их числу следует отнести ГОСТ 27.310–95 «Анализ видов, последствий и критичности отказов», ГОСТ Р 51333–99 «Безопасность машин. Основные принципы конструирования. Термины, технологические решения и технические условия», ГОСТ Р 51901–2002 «Управление надежностью. Анализ риска технологических систем», ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения», а также ГОСТы ИСО/ТО 12100–1 и 2–2002 «Безопасность оборудования. Основные понятия, общие принципы конструирования» и др.

Позднее стали разрабатываться и принимались стандарты управления рисками в деятельности хозяйствующих субъектов, такие, как: ГОСТ Р 51901.2–2005 «Менеджмент риска. Системы менеджмента надежности», ГОСТ Р 51901.13–2005 «Менеджмент риска. Анализ дерева неисправностей», ГОСТ Р 51901.14–2005 «Менеджмент риска. Метод структурной схемы надежности», ГОСТ Р 51901.4–2005 «Менеджмент риска. Руководство по применению при проектировании», ГОСТ Р 14.12–2006 «Экологический менеджмент. Интегрирование экологических аспектов в проектирование и разработку продукции», ГОСТ Р МЭК 61160–2006 «Менеджмент риска. Формальный анализ проекта», ГОСТ Р 51901.15–2005 «Менеджмент риска. Применение марковских методов», ГОСТ Р 51901.6–2005 «Менеджмент риска. Программа повышения надежности», ГОСТ Р 51901.16–2005 «Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки».

В течение 5–6 лет было разработано 8 стандартов риск-менеджмента, и эта работа не закончена. В 2009 г. был подготовлен и в августе 2010 г. принят стандарт ISO 31000 «Общие указания по принципам и реализации менеджмента риска».

Консультанты в области риск-менеджмента, действующие на российском рынке, повышенное внимание уделяют документу «Управление рисками организаций. Интегрированная модель», разработанному Комитетом спонсорских организаций Комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission – COSO)[169]169
  Enterprise Risk Management – Integrated Framework Executive Summary. Committee of Sponsoring Organization of the Treadway Commission (COSO), 2004.


[Закрыть]. Данный документ представляет собой описание концептуальных основ управления рисками организаций и дает подробные рекомендации по созданию корпоративной системы управления рисками в рамках организации.

В настоящее время национальные стандарты действуют в Австралии и Новой Зеландии (AS/NZS 4360, принят в 1995 г., дорабатывался в 1999 и 2004 гг.)[170]170
  В дополнение к стандарту AS/NZS 4360 издано подробное руководство по его использованию (Australian Handbook, HB 254-2003).


[Закрыть], Канаде (CAN/CSA-Q850-97, принят в 1997 г.), Японии (JIS Q 2001, принят в 2001 г.), Великобритании в сфере управления проектными рисками (BS-6079-3:2000, принят в 2000 г.). Отдельные разработки в данной области проводятся в ряде других стран, например Норвегии, где действует, в частности, стандарт Z-013 «Анализ готовности к риску и возникновению аварийных ситуаций», разработанный для нефтегазовой индустрии. В табл. 7.1 представлен перечень стандартов риск-менеджмента различных стран[171]171
  Источник. – http://www.icc-iso.ru/toclients/standard/


[Закрыть].

Таблица 7.1

Перечень основных международных стандартов по управлению рисками

Стандарт по риск-менеджменту Австралии и Новой Зеландии. Одним из первых и наиболее полных и проработанных национальных стандартов в области управления риском эксперты признают стандарт AS/NZS 4360 по риск-менеджменту Австралии и Новой Зеландии, имеющий общий (внеотраслевой) характер; его основные положения адаптированы для построения систем управления риском рядом транснациональных корпораций.

Согласно стандарту AS/NZS 4360[172]172
  AS/NZS 4360:2004. Risk Management, issued by Standards Australia. P. 13.


[Закрыть], управление риском на уровне организации представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного характера (рис. 7.1). При этом под управлением риском в стандарте понимается «совокупность культуры, процессов и структур, ориентированных на использование потенциальных возможностей при одновременном управлении негативными воздействиями», что принципиально отличает данное определение от приведенного в стандарте 1995 г.

Стадия 1. Определение окружения (среды). Среди факторов, определяющих необходимость анализа и идентификации внутренней среды организации, выделяются следующие:

• управление риском должно осуществляться в контексте целей и задач организации;

• одним из основных рисков организации является возникновение препятствий в процессе достижения поставленных стратегических, операционных, проектных и иных целей;

• четкая формулировка принципов корпоративной политики и целей организации будет способствовать определению основных направлений политики в области управления рисками;

• цели и задачи организации по сегментам деятельности, а также целевые ориентиры, формируемые при реализации отдельных корпоративных проектов, должны рассматриваться в соответствии с целями организации как единого целого.

Одним из результатов данной стадии является идентификация так называемых причастных (по отношению к рассматриваемой организации) сторон. При этом под причастной стороной (в литературе также широко применяются термины «заинтересованные стороны», «стейк-холдеры») понимается «любой индивид, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженным воздействию риска»[173]173
  ГОСТ Р 51897–2002. Менеджмент риска. Термины и определения. С. 2.


[Закрыть]. В соответствии с приведенным определением к причастным сторонам относятся, в частности, клиенты и контрагенты, внутрикорпоративные группы (персонал, менеджмент), неправительственные организации, государственные структуры, СМИ. Среди целей идентификации причастных сторон следует отметить:

• необходимость обеспечения ЛПР профилями причастных сторон для лучшего понимания их потребностей и ожиданий в отношении риск-менеджмента организации;

• формирование ключевых тезисов, которые лица, принимающие решения на уровне организации, предполагают донести до причастных сторон в процессе коммуникаций и консалтинга.

Подобный «расширенный» подход к определению круга причастных сторон является преимуществом стандарта AS/NZS 4360 (см. рис. 7.1). Отметим, что в теории риск-менеджмента (см. гл. 2) существует иной экономико-финансовый подход, в рамках которого акценты смещаются в сторону анализа осознания риска организации только ее акционерами и только финансовых результатов, что сужает информационную основу для формирования корпоративной системы управления риском, уменьшает гибкость вырабатываемых подходов.

Восприятие риска причастной стороной не статично и зависит от изменений во внешней среде, специфики решаемой проблемы. При этом на различных стадиях управления риском сформированный перечень может корректироваться.

Рис. 7.1. Составляющие процесса управления риском (стандарт риск-менеджмента Австралии и Новой Зеландии AS/NZS 4360)

В настоящее время подход к определению причастных сторон претерпевает качественное развитие от узкого толкования к расширенному. В частности, в материале исследования Международного совета по управлению риском (International Risk Governance Council)[174]174
  Международная организация, созданная в 2004 г. и ориентированная на реализацию проектов в области риск-менеджмента в сфере ядерной энергетики, биотехнологий, стихийных бедствий и прочих опасностей.


[Закрыть] вводится понятие «социальный контекст (среда) риск-менеджмента», которое подразумевает структурирование совокупности причастных сторон: первый уровень – взаимодействие субъектов, сталкивающихся с рисковыми явлениями; второй уровень – принятие политических решений, регулирование, а также социополитическое воздействие, превалирующее среди институциональных образований, влияющих на течение рисковых процессов, их организационные структуры и возможности, необходимые для эффективного управления рисками[175]175
  Saner M. Information Brief on International Risk Management Standards. Institute on Governance (Canada), 2005. Nov. 30. P. 9.


[Закрыть]. Таким образом, на систематической основе предлагается проводить анализ действий отдельных индивидов, а также административных отношений. С точки зрения экспертов организации, нужно исследовать, каким образом осуществляется принятие решений в области управления риском в ситуациях, когда в данный процесс вовлечен целый спектр сторон, что в свою очередь требует координации и увязки интересов.

В рамках рассматриваемой стадии управления риском также определяются спектр целевых показателей деятельности, перечень элементов стратегии организации, параметры ее функционирования, на которые будут влиять процессы риск-менеджмента, баланс возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента), требуемые ресурсы и учетные процедуры.

Стадия 2. Идентификация рисков. На данной стадии должны быть идентифицированы риски, обусловленные особенностями внешней и внутренней среды, проанализированной на стадии 1: рассматриваются все возможные источники риска, а также имеющаяся информация о восприятии риска (осознании риска) причастными сторонами, как внутренними по отношению к организации, так и внешними. Особые требования предъявляются к качеству информации (максимально возможный уровень релевантности, полноты, точности и временнóго соответствия при имеющихся ресурсах на ее получение) и ее источников.

Важно, чтобы персонал, занятый в идентификации рисков, обладал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обусловливает необходимость участия в данном процессе специальных рабочих групп, состоящих из экспертов различного профиля.

Стадия 3. Анализ рисков. Результатом прохождения стадии 3 является определение уровня риска, отражающего оценки последствий и вероятности рисковых событий. Выделяют количественный и качественный анализ. Ценность и значение качественного анализа существенным образом повышаются в случае, если определение риска формируется широким кругом причастных сторон.

Стадия 4. Оценивание рисков. Задачей данной стадии является принятие решения о допустимости/недопустимости риска (в отношении допустимого риска не применяются процедуры обработки риска, предусмотренные стадией 5 рассматриваемого процесса управления риском). Оценивание риска предполагает исследование уровней подконтрольности рискового события, затрат на осуществление воздействия, потенциальных издержек и выгод, связанных с рисковым событием.

Результаты работы экспертов на данной стадии могут потребовать пересмотра критериев риска, установленных на стадии 1 процесса (таким образом, решается задача по обеспечению попадания всех значимых рисков в область анализа).

Стадия 5. Обработка риска (выбор метода регулирования рисков). На данной стадии осуществляется работа с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопустимости для организации в соответствии с критериями, определенными на начальных стадиях рассматриваемого процесса управления рисками.

Альтернативные варианты обработки рисков:

• избежание риска, осуществляемое либо посредством прекращения деятельности, сопряженной с недопустимым для организации уровнем риска, и выбором других, более приемлемых направлений деятельности, отвечающих задачам организации, либо путем избрания альтернативной, менее рисковой методологии в отношении организации рассматриваемого процесса или направления деятельности;

• снижение вероятности реализации рискового события и (или) возможных последствий реализации; при этом находится баланс между уровнем риска и издержками, сопряженными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, но требуют высоких издержек при реализации, необходимые затраты бюджетируются. В рамках данной альтернативы рекомендуются такие процедуры, как контроль, улучшение процессов, тренинги и повышение квалификации персонала, аудит и определение соответствия установленным правилам;

• разделение риска с третьими сторонами (диверсификация), когда передающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффективно управлять им;

• удержание риска (локализация) – применяется в отношении остаточных, а также невыявленных рисков, когда выделяется область процессов операций организации, в которой сосредоточиваются определенные риски.

Процесс 1. Коммуникации и консультирование. На начальных стадиях разработки стратегии управления рисками нужно принять решение в отношении стратегии коммуникаций и консультирования, т. е. фактически предлагается начинать процесс управления риском с установления коммуникативных связей и консультирования. При этом в рассматриваемом стандарте наименование процесса указывает на необходимость ведения диалога между всеми причастными сторонами (альтернатива одностороннему потоку информации от организации причастным сторонам), результатом которого должно быть аккумулирование взглядов и рекомендаций в отношении сущности, природы, формы, тяжести последствий и приемлемости рисков организации. В ряде стандартов (например, в канадском стандарте по риск-менеджменту CAN/CSA-Q850-97) производится сужение описываемого процесса до осуществления коммуникации риска.

Процесс 2. Мониторинг и анализ. Необходима интеграция данного процесса с процессами на разных стадиях управления рисками. Реализация процессов мониторинга и анализа рисков на постоянной основе требуется для обнаружения изменений в характеристиках рисков/перечня рисков под влиянием изменений среды, подтверждения адекватности применения действующих процедур по риск-менеджменту в изменившихся обстоятельствах.

Среди методов мониторинга и анализа рисков выделяют: внутренние программы проверок, внутренний и внешний аудит, изучение деятельности организации, осуществляемое уполномоченными – парламентскими комиссиями, судами и проч., инвентаризация и другие методы.

Эксперты в области риск-менеджмента связывают качественное развитие системы стандартизации в данной сфере с выходом процесса с уровня национальных органов по стандартизации/профессиональных объединений на уровень Международной организации по стандартизации, что позволит, в частности, провести унификацию подходов, выработанных в действующих стандартах и руководствах в области риск-менеджмента прежде всего с точки зрения используемого терминологического аппарата, понимания содержания элементов системы управления риском, связей между ними.

Стандарт FERMA. Российским обществом управления риском «Русриск» кроме рекомендаций COSO в качестве базового рассматривается стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA), который является совместной разработкой (2002) Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM).

В отличие от рассмотренного в гл. 5 Регламента COSO в части применяемой терминологии стандарт FERMA использует подход, принятый в документах Международной организации по стандартизации (Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения»).

Так, риск определяется стандартом не развернуто и менее детально, а именно: «комбинация вероятности события и его последствий». Это ограничивает возможности анализа рисков, как отмечено при сравнении стандартов других стран. Вместе с тем в стандарте FERMA риск-менеджмент рассматривается в качестве центральной части стратегического управления организацией, задачами которой являются идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая система управления рисками должна включать в себя программу контроля за выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации в соответствии с принятыми международными нормами.

Стандартом FERMA выделяются четыре группы рисков организации – стратегические, операционные и финансовые риски, а также опасности. Кроме того, в стандарте приведены:

1) характеристика ключевых стадий процесса риск-менеджмента[176]176
  Стандарты управления рисками Федерации европейских ассоциаций риск-менеджеров, 2003. С. 5.


[Закрыть] (рис. 7.2), в том числе подробное описание требований к детализации информации в отчетах о рисках в зависимости от потребителя данной информации (среди потребителей внутренних отчетов – совет директоров организации, ее отдельная структурная единица, конкретный работник организации; внешних отчетов – внешние контрагенты организации). В частности, отчет о рисках организации для внешних пользователей информации должен включать описание:

• методов системы внутреннего контроля, а именно: характеристику зон ответственности менеджмента организации в вопросах управления рисками;

• способов идентификации рисков и их практического применения в действующей системе управления рисками организации;

• основных инструментов системы внутреннего контроля в отношении наиболее значимых рисков;

• действующих механизмов мониторинга и слежения за рисками;

2) описание организационной структуры управления риском (совет директоров – структурная единица – риск-менеджер), а также основных требований к разработке нормативных документов в области риск-менеджмента на корпоративном уровне (программа по управлению риском организации).

Рис. 7.2. Блок-схема процесса управления риском согласно стандартам управления рисками Федерации европейских ассоциаций FERMA

Мы видим большое разнообразие стандартов. Почему же так много, казалось бы, только частично различающихся стандартов управления рисками и хватит ли их сегодня и завтра? Ответить на этот вопрос можно следующим образом: стандартизация в области регулирования рисков развивалась постепенно по мере нарастания технологических, экономических, экологических, социальных проблем и их глобализации. Этот процесс отражает развитие национальных и международных стандартов регулирования рисков. Стандарты COSO в большей мере предназначены для приложения в корпоративных структурах, активно участвующих в биржевой торговле. Стандарт FERMA будет использоваться корпорациями, в большей мере задействованными в производственной сфере или, говоря экономическим языком, в реальном секторе экономики. Именно поэтому, видимо, «Русриск» выбрал последний стандарт в качестве базового. Вместе с этим другие стандарты также имеют право на жизнь в специальных сферах деятельности.

Сравнение содержания стандартов показывает, что происходит их постепенный переход к более обобщенной форме с выделением ключевых стадий процесса регулирования факторов риска. Наконец, развитие стандартов риск-менеджмента, а в отдельных странах их модернизация и дополнение свидетельствуют о том, что эти процессы не могут закончиться, так как постоянно меняется контекст бизнеса и возникают новые опасности, угрозы и риски.