Текст книги "Теория и практика управления рисками организации"

7.2. Основные концепции и терминологические особенности стандартов регулирования рисков

Терминология риск-менеджмента. Терминология управления рисками довольно часто подразумевает более четкий и логически выстроенный процесс, чем возможно в реальной жизни. Это касается регулирования рисков (см. гл. 5) и на уровне деятельности государства, и на уровне хозяйствующего субъекта. Однако государству приходится иметь дело со сложными условиями работы, с большим числом переменных и, что важно подчеркнуть с учетом поведенческих рисков, более сильным влиянием субъективного фактора, чем, к примеру, в малом и среднем бизнесе. Кроме того, государство вынуждено находить сложный баланс между конкурирующими и даже противоборствующими позициями. Управление рисками связано как с ценностями в самом общем понимании (общечеловеческими), так и с ценностью в более узком, материальном (финансовом) понимании.

Терминология риска в некоторых случаях, в том числе в стандартах управления рисками, может вводить в заблуждение. Об этом уже шла речь в гл. 2 при обсуждении понятия «риск» как экономической категории или как результата деятельности организации, но тема далеко не исчерпана. Разные исследователи приписывают основным терминам разные значения, порой внутренне противоречивые[177]177
  Многие авторы, определяя риск как вероятность возникновения потерь, далее говорят о риске как экономической категории. Но вероятность не может быть экономической категорией по смыслу определения.


[Закрыть]. Важно выработать общий язык, который был бы понятен и тем, кто работает в системе государственного управления (в том числе регулирования рисков), и всем остальным, как занятым в хозяйственной деятельности, так и просто проживающим на территории страны. Целый ряд определений приводится в рассмотренных в § 7.1 специальных национальных и международных стандартах[178]178
  ГОСТ 1.1–2002 «Межгосударственная система стандартизации. Термины и определения»; ГОСТ Р 51897—2002 «Менеджмент риска. Термины и определения»; FERMA – Стандарты Федерации европейских ассоциаций риск-менеджеров, 2003; AS/NZS 4360: 2004 – Risk Management, issued by Standards Australia; CSA (1997) Risk Management: Guideline for Decision-Makers. A National Standard of Canada / Canadian Standards Association (1997 reaffirmed 2002) CAN/CSA-Q850-97; Draft International Standard ISO/DIS 31000. Risk management. Principles and guidelines on implementation. ISO, 2008.


[Закрыть], а также в разъяснительных документах, выпущенных регуляторами европейских стран. Менеджмент риска – это культура организаций (убеждения, ценности и поведение), процессы и структуры, которые направлены на реализацию потенциальных возможностей при управлении неблагоприятными эффектами. Ясно, что стандарты не определяют менеджмент риска как комбинацию только двух слов «управление рисками», как можно было бы перевести на русский язык эти два простых слова.

Из получившего широкое признание Руководства по терминологии ИСО/МЭК 73:2002 (в России это национальный стандарт ГОСТ Р 51897–2002) заимствованы многие другие ключевые термины и определения: последствие (consequence), событие (event), вероятность (probability), остаточный риск (residual risk), анализ риска (risk analysis), оценка риска (risk assessment), предотвращение риска (risk avoidance), коммуникация риска (risk communication), идентификация риска (risk identification), оптимизация риска (risk optimization).

В нашем учебном пособии используется по возможности эта терминология, но ее нужно уточнить, адаптировать и дополнить, чтобы охватить весь спектр деятельности управляющих структур государства и российских организаций в области управления рисками. Основные общие сущностные модели в стандартах управления рисками приведены ниже.

Риск означает деятельность (принятие и реализация стратегического решения) в условиях неопределенности будущего результата, включая как позитивные (новые возможности), так и негативные (угрозы) последствия действий или событий. Это формирующее неопределенность будущего сочетание вероятности возникновения результатов деятельности субъекта и ожидаемого их воздействия, включая субъективное восприятие важности в условиях сегодняшней неопределенности[179]179
  Данное определение опирается на более развернутое, представленное в гл. 2 пособия.


[Закрыть]. В приведенном определении заключается признание того, что деятельность субъекта (выбор решения и его реализация) связана со значительной неопределенностью внутренней и внешней природы. В данном случае намеренно избегают определений риска на основе критерия измеримости Ф. Найта (например, его экономического разделения между риском и неопределенностью). Во многих случаях, когда речь идет, например, о наиболее актуальных для государства рисках, для их оценки требуется не только объективное измерение, но и значительный элемент субъективного суждения (например, будет ли та или иная политика пользоваться общественной поддержкой).

Управление рисками включает в себя все процессы, связанные с осознанием ситуации риска, выявлением, оценкой и формированием суждения о рисках, принятием мер, позволяющих смягчить или предусмотреть риск, а также с порядком мониторинга и анализа. Согласно определению стандартов европейских стран, управление рисками – это организация эффективного по затратам процесса в отношении того или иного риска. В целом надо учесть, что стоимость управления рисками должна быть соразмерна полученным выгодам.

Для управления рисками должны быть определены и реализованы: порядок мониторинга рисков, доступ к достоверной и актуальной информации о риске, оптимальный уровень государственного контроля для управления этими рисками и порядок принятия решений на основе анализа и оценки риска.

Меры, принимаемые в ситуации риска, – термин, употребляемый в более широком значении, включая как процессы собственно управления рисками (риск-менеджмент) на уровне организации (микроуровень), так и вопросы общего уровня, такие, как подход государства к проблеме, его роли и обязанности, организационная культура (макроуровень). Существует опасность, что управление рисками будут воспринимать как механический процесс типа вычислительных программ. Из-за этого ошибочного мнения будут упущены из виду реальные и важные проблемы. Поэтому следует подчеркнуть ключевую роль обоснованного суждения в каждом аспекте системного управления рисками. Отметим, что в некоторых стандартах дается определение понятия «суждение о риске», которое реализует понятие об осознании риска, включенное в общее определение риска (гл. 2).

Типы риска. Основное внимание в стандартах при анализе на макроуровне акцентируется на роли центрального правительства, хотя многие из рассматриваемых вопросов актуальны для государственного сектора в целом, включая региональные и местные органы власти, а также организации микроуровня.

Риски, с которыми приходится иметь дело государству, чрезвычайно разнообразны, а масштабы их постоянно растут. Начав на ранних этапах исторического развития с озабоченности безопасностью страны и поддержанием мира, активного участия в охране здоровья населения в ХIХ в. и защиты от социальных рисков в ХХ в. («бевериджские пять гигантов» – нужда, болезнь, невежество, нищета и леность), государство в ХХI в. должно соответствовать все более высоким ожиданиям общества в плане защиты от неопределенности в связи с прогрессом науки и технологии и контроля рисков, которым подвергают потребителей социальные и коммерческие структуры. Далее рассмотрены вопросы применения риск-менеджмента в этой широкой сфере, особенно выделены место и роль государства в распределении ответственности за риск, поскольку эти темы обсуждаются недостаточно объемно и не так часто, как они заслуживают.

В условиях нарастающей неопределенности угрозы, опасности, с которыми имеет дело население, бывают добровольными при более или менее высокой осведомленности об опасности (осознание ситуации риска) или навязанными обществу извне по вине каких-либо лиц или организаций (например, риск преступности, риск в связи с экологически опасной промышленной продукцией или технологиями, риск аварий на АЭС), а также связанными с природными событиями (землетрясение, наводнение, тяжелые погодные условия, см. приложение C^j 2). Использование современных методов менеджмента (финансовый, ресурсный, проектный и программный менеджмент) позволяет более эффективно организовать управление широким спектром рисков для бизнеса и государства (финансы, кадры, задержки с выполнением проектов, качество обслуживания), т. е. процесс менеджмента (регулирования) риска.

Процесс менеджмента риска. Регулирование риска – неотъемлемая часть менеджмента организации и культуры организации в целом – представляет собой повторяющийся процесс непрерывного совершенствования организации, который является наилучшим вкладом в существующие практики и бизнес-процессы.

Главные (или ключевые в блок-схеме стандарта FERMA) стадии процесса менеджмента риска в расширенном подходе, отраженном в стандарте ИСО 31001 (рис. 7.3), рассмотрены далее.

1. Поддержание связей и консультации. Необходимо поддерживать коммуникации и консультироваться с внутренними и внешними причастными сторонами в целом и в каждом элементе процесса управления риском.

В диалог следует вовлечь все причастные стороны, причем усилия должны быть сосредоточены на консультациях, а не на одностороннем потоке информации от ЛПР.

В нормативных документах[180]180
  См. стандарт управления рисками ISO 31000.


[Закрыть] подчеркивается, что важно разработать план поддержания связей с внутренними и внешними причастными сторонами на самой ранней стадии процесса, чтобы гарантировать, что лица, ответственные за осуществление менеджмента риска, и заинтересованные стороны понимают уровень риска, основание, на котором принимаются решения, и специфику контроля.

2. Установление контекста (анализ среды деятельности организации). Согласно стандарту FERMA, установление контекста определяет основные параметры, в рамках которых должно происходить управление рисками и которые устанавливают возможности для остальной части процесса менеджмента риска. Контекст включает внешнюю и внутреннюю среду организации, а также цель деятельности по управлению риском, и предусматривает несколько шагов:

Рис. 7.3. Процессы риск-менеджмента в стандарте ИСО 31001

• установление внешнего контекста – определение внешней среды, в которой функционирует организация, поэтому важно гарантировать, что причастные стороны, их взгляды и цели, а также внешние угрозы будут рассмотрены при разработке политики управления риском. Внешний контекст может также включать: социальные, культурные, финансовые, политические и иные регулирующие аспекты, сильные и слабые стороны организации, ее конкурентоспособность, ключевые тенденции на рынках;

• установление внутреннего контекста – понимание внутренней среды организации и внутренних процессов достигается при изучении: внутренних заинтересованных сторон, внутренней организационной структуры, внутренних возможностей людских ресурсов, систем, процессов, капитала, целей и стратегий. Установление внутреннего контекста важно, в частности, потому что управление риском имеет место одновременно и в контексте достижения целей организации, и в контексте ее повседневных действий, а также помогает организации сосредоточиться на ее сильных и слабых сторонах для достижения целей, учитывая восприятие и ожидания заинтересованных сторон;

• установление контекста менеджмента риска – область управления риском зависит от потребностей организации. Например, действия по управлению риском могут затронуть как всю организацию или ее часть, так и отдельные процессы деятельности организации, проекты некоторых типов и т. д.;

• разработка критериев риска, относительно которых риск подлежит оцениванию на базе контекста. Решения вопроса, требуется ли обработка риска, могут базироваться на критериях эксплуатационного, технического, финансового, юридического, социального, экологического, гуманитарного и иного характера. Критерии могут также ориентироваться на восприятие причастных сторон, законодательные и иные регулирующие требования. При этом необходимо ответить на вопросы: какие последствия подлежат учету? Как они будут измеряться? Каким образом будет определена вероятность? Как будет определен уровень риска? Какой уровень риска может требовать обработки?

• определение структуры остальной части процесса, включая выполнение обзора предложенной структуры в пределах характеристик риска и его контекста относительно отдельных подразделений.

3. Идентификация риска, использующая структурированный систематический процесс, особенно важна, потому что риск, не идентифицированный в этом элементе, может быть исключен из дальнейшего анализа. Идентификация риска включает идентификацию источника риска, событий и потенциальных последствий (если возможно, идентификация риска может также рассмотреть возможность управления риском). При этом необходимо получить ответы на довольно простые вопросы: что может случиться? Когда и где может случиться? Как и почему может случиться? Цель состоит в том, чтобы выявить исчерпывающий список источников рисков и событий, которые могут воздействовать на достижение каждой из целей, идентифицированных в контексте.

Существенно, чтобы лица, вовлеченные в идентификацию источников рисков, были хорошо осведомлены о детальных характеристиках источника и причин риска. Идентификация источников рисков может потребовать также образного мышления и наличия опыта.

Как следует из стандарта, идентифицировав событие, которое может произойти, необходимо рассмотреть возможные причины и сценарии последствий, не упустив ни одной существенной причины. Выбор подходов, используемых для идентификации («мозговой штурм», сценарный анализ, анализ систем и т. д.), зависит от характера рассматриваемых действий, типа риска, организационного контекста и цели.

4. Анализ риска. В стандарте указывается, что результатом процесса должно быть довольно детальное понимание уровня риска и его характера для последующей обработки. Риск анализируется путем комбинации последствий и их вероятности. В большинстве случаев принимают во внимание существующий контроль. Предварительный анализ может быть выполнен на этом этапе или при идентификации риска с тем, чтобы сходные риски объединить для эффективности анализа, а риски низшего уровня исключить из детального изучения. Однако подобные риски, где возможно, должны быть внесены в список, чтобы продемонстрировать завершенность анализа.

Источниками информации для анализа рисков могут быть: предыдущие записи, практика и опыт, тематическая литература, маркетинговые исследования, результаты публичных консультаций, эксперименты и опытные образцы, экономические, проектные и другие модели, экспертные суждения.

На выбор используемого метода анализа влияют контекст, цели, доступные ресурсы и текущее состояние знаний. Среди используемых методов – интервью с экспертами в соответствующей области, привлечение междисциплинарных групп экспертов, индивидуальные оценки с использованием анкетных опросов, моделирование.

При этом в зависимости от обстоятельств анализ риска может быть (по мере снижения сложности и затрат) качественным, полуколичественным, количественным или комбинированным.

5. Оценивание риска, как следует из стандарта, состоит в том, чтобы принять решения, основанные на анализе риска, в обработке необходимых рисков и определении ее приоритетов. Оценивание риска включает сравнение уровня риска, определенного в процессе анализа, с критериями риска, установленными при рассмотрении контекста. Результатом оценивания риска может быть решение о дальнейшем анализе или об отказе в обработке риска, учитывая существующий контроль.

6. Обработка риска включает идентификацию диапазона вариантов для обработки рисков, оценку этих вариантов, подготовку и выполнение планов обработки. Отбор самого адекватного варианта обработки является балансированием затрат на осуществление каждого из вариантов относительно выгод, полученных в результате его реализации.

Организация может извлечь выгоду посредством комбинации вариантов. Примером может быть эффективное использование контрактов и определенных обработок риска, поддерживаемых страхованием. При этом, если бюджет для обработки риска ограничен, план обработки должен четко идентифицировать порядок приоритетов, в котором выполняется обработка риска.

Цель планов обработки – документировать процесс, используемый для выполнения выбранных вариантов. Планы обработки должны быть интегрированы с менеджментом и бюджетными процессами в организации и включать: предлагаемые действия и ресурсные требования, обязанности и полномочия, выбор времени выполнения, эффективность мероприятий, требования отчетности и мониторинга.

Остаточный риск – это риск, который остается после того, как варианты обработки были идентифицированы, а планы обработки осуществлены. Наряду с этим в данную категорию включают также весь неидентифицированный (нераспознанный) риск. Важно, чтобы все причастные стороны и ЛПР знали о характере и степени остаточного риска. Поэтому он должен быть задокументирован, подвергнут мониторингу и анализу.

7. Мониторинг и обзор. Как следует из стандарта, регулярное выполнение обзора существенно для того, чтобы гарантировать, что план обработки продолжает оставаться уместным и адекватным. Могут измениться факторы, затрагивающие вероятность и последствия риска, обработанный риск или стоимость обработки.

Каждая стадия процесса менеджмента риска фиксируется документально, в том числе выдвинутые предположения, применяемые методы, источники данных, анализ рисков, результаты и причины принятых решений. Записи процессов – важный фактор успешного корпоративного управления. Решения о создании и объемах записей должны приниматься с учетом юридических и деловых потребностей в них, стоимости их создания и поддержания в рабочем состоянии, выгод от многократного использования информации.

Осуществление интегрированного управления риском. Управление риском включает рассмотренные ниже элементы системы регулирования рисков.

1. Разработка интегрированного плана менеджмента риска по всей организации позволит эффективно и всесторонне осуществить управление риском по всем подразделениям организации, системам, процессам и методам. В стандарте отмечается, что используемые во многих организациях методы управления и процессы включают элементы менеджмента риска, а некоторые организации уже внедрили процессы менеджмента для специфических категорий риска. Поэтому перед разработкой плана организация должна проанализировать и оценить те элементы процесса управления риском, которые уже применяются. Этот обзор должен отразить потребности организации в управлении риском и его контекст. Результатом будет структурированная оценка:

• зрелости, характеристик и эффективности существующего бизнеса, культуры и систем управления риском;

• степени интеграции и последовательности управления риском внутри организации, в том числе различных типов рисков;

• процессов и систем, которые планируется модифицировать или расширить;

• ограничений, которые могут препятствовать внедрению систематического управления риском;

• законодательных и иных регулирующих требований;

• ограниченности ресурсов.

План должен обеспечивать включение управления рисками в важнейшие методы, практику и бизнес-процессы так, чтобы это было уместно, эффективно и надежно. В частности, менеджмент риска следует внедрить в разработку политики, стратегическое планирование, управление активами, аудит, экологический менеджмент, противодействие мошенничеству, управление инвестициями и т. д. При этом план может включать определенные разделы для специфических функций, областей, проектов, действий или процессов. Практически этими разделами могут быть отдельные планы, которые должны быть совместимы с политикой управления риском в организации в целом.

2. Определение и документирование политики менеджмента риска. Данная политика включает описание, в частности, таких моментов, как:

• цели и объяснение того, как управлять риском;

• связи между политикой и стратегическими планами организации;

• процессы, которые используются, чтобы управлять риском;

• детали доступной поддержки и экспертизы, чтобы оказывать помощь ответственным лицам в управлении рисками;

• заявление о том, каким образом характеристики управления риском будут измерены и представлены в отчете;

• обязательство по периодическому обзору системы управления риском;

• обязательства высшего руководства организации относительно политики менеджмента риска.

Стандарт ГОСТ Р ИСО/МЭК 31010 «Менеджмент риска. Методы оценки риска». Здесь принципы стандартизации в области риск-менеджмента получили дальнейшее развитие.

В рамках Международной организации по стандартизации разработаны и действуют стандарты, рассматривающие отдельные аспекты управления риском по ряду направлений деятельности, например в нефтегазовой отрасли, в сфере эксплуатации промышленного и медицинского оборудования и др.

Унификацию терминологии в области управления риском, в том числе при разработке стандартов на различных уровнях, предусматривает Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения» (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for Use in Standards»), вступившее в силу в 2002 г.

Следующим уровнем развития стандартизации в области риск-менеджмента является подготовка общего стандарта ИСО в области управления рисками.

Согласно планам Международной организации по стандартизации, стандарт ИСО 31000 «Риск-менеджмент. Принципы и руководства по применению» (Risk Management. Principles and Guidelines on Implementation), разработку которого осуществляла Рабочая группа по стандартизации в области риск-менеджмента (в нее входили представители национальных органов по стандартизации 26 стран), принят в 2009 г. в ЕС и в 2010 г. в России: ИСО/МЭК 31010 «Риск-менеджмент. Руководство по оценке риска» (ISO/IEC 31010 Risk Management. Risk Assessment Guidelines)[181]181
  По материалам официального сайта Международной организации по стандартизации. – www.iso.org


[Закрыть].

При подготовке проекта стандарта ИСО 31010 разработчики приняли за основу рассмотренный выше стандарт Австралии и Новой Зеландии (2004), о чем, в частности, свидетельствует сходство использованного подхода к определению и описанию процесса риск-менеджмента и его отдельных составляющих. Вместе с тем существуют различия. Например, проектом стандарта ИСО 31010 стадии «Идентификация риска», «Анализ риска», «Оценивание риска» рассматриваются не самостоятельно, а в качестве составляющих стадии «Оценка риска». Кроме того, особо подчеркивается необходимость документирования процесса управления риском с учетом выгод повторного использования накопленной информации для целей управления, оценки затрат на создание и хранение документов и др.

Вместе с тем в рамках стандарта характеристика принципов риск-менеджмента и описание модели управления риском отделены от характеристики собственно процесса риск-менеджмента. Отмечается, что процесс управления риском не существует сам по себе, а должен стать составным элементом управления в организации, внедряться в организационную культуру, настраиваться под действующие в рамках организации бизнес-процессы.

Среди принципов управления риском, определяющих его эффективность, обращают на себя внимание тезисы, приведенные в тексте стандарта, а именно, риск-менеджмент:

• создает стоимость, т. е. вносит вклад в достижение поставленных целей, а также в совершенствование в таких областях, как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятельность, корпоративное управление, репутация;

• является неотъемлемой частью организационных процессов в организации;

• является составной частью процесса принятия решений в организации;

• должен быть специально отрегулирован и «настроен» с учетом специфики деятельности организации;

• учитывает существование человеческого и культурного факторов.

Применение установленной стандартом модели управления риском[182]182
  Подготовлено на основании Draft International Standard ISO/DIS 31000 «Risk Management. Principles and Guidelines on Implementation». ISO, 2008. P. 3–7.


[Закрыть] (рис. 7.4) должно обеспечить эффективность риск-менеджмента, его интеграцию в общую систему управления организацией, способствовать использованию информации о риске при принятии решений на всех уровнях организационной иерархии, гарантировать адекватное отражение данной информации в отчетности организации.

В модели особая роль отводится руководству организации, которое должно создать условия для внедрения управления рисками в организации и достижения текущей эффективности риск-менеджмента.

В приложении А стандарта определены атрибуты расширенного подхода к управлению рисками, в числе которых:

• непрерывное совершенствование и коммуникации;

• всесторонняя ответственность за риски, контроль за риском, выполнение задач по обработке риска;

• центральное место риск-менеджмента в иерархии организационных процессов.

Как видим, мировая практика демонстрирует активное развитие процессов стандартизации в области управления риском, в том числе на национальном и международном уровнях. Рассмотренные стандарты определяют цели, задачи, элементы системы, этапы процесса управления рисками, необходимую организационную структуру. При этом схемы, заложенные в данных документах, могут быть использованы в качестве основы для процессов разработки и последующего внедрения корпоративных систем управления рисками.

Рис. 7.4. Модель управления риском согласно стандарту ИСО 31000 «Риск-менеджмент. Принципы и руководства по применению»

Применение изложенных подходов на национальном и корпоративном уровнях стандартизации в России, в том числе в рамках построения корпоративных систем управления риском, позволит:

• осуществлять оценку применяемых организацией подходов к управлению рисками как экспертам в самой организации, так внешним стейкхолдерам, выявлять слабые и сильные стороны корпоративного риск-менеджмента с точки зрения изложенных в стандартах общепринятых подходов;

• сократить затраты на подготовку документов корпоративной системы управления риском и внесение необходимых изменений в организационную структуру, сосредоточившись на «настройке» типовых подходов под требования бизнеса;

• повысить эффективность процесса передачи функций по проектированию и внедрению корпоративных систем риск-менеджмента на аутсорсинг (в случае, если организация планирует прибегнуть к подобным услугам), вследствие появления возможности использовать единую терминологическую базу при формулировке рекомендаций по построению отдельных элементов единой системы, поступающих от третьих организаций;

• осуществлять обмен опытом в области риск-менеджмента в практической и теоретической плоскостях (в том числе на национальном и международном уровнях).