По управлению рисками

Табл. 4.1.

Наименование стандарта	Аналог стандарта в РФ
ISO /CD 31000 проект комитета ISO	General guidelines for principles and implementation of risk management	Общие руководящие указания по принципам и осуществлению риск-менеджмента	—
BS 31100:2008 британский стандарт	Code of practice for risk management	Свод практики для риск-менеджмента	—
AS/NZS 4360:2004 австралийский и новозеландский стандарт	Risk management	Риск-менеджмент	—
HB 436:2004 австралийское руководство	Risk management Guidelines — Companion to AS/NZS 4360:2004	Руководящие указания по риск-менеджменту — Применение стандарта AS/NZS 4360:2004	—
BS 5760-7:1991 (IEC 61025:1990) британский стандарт в электротехнике	Reliability of systems, equipment and components — Part 7: Guide to fault tree analysis (FTA)	Надежность систем, оборудования и компонентов — Часть 7: Руководство по анализу «дерева неисправностей»	ГОСТ Р 51901.13-2005
CSA Q 850:1997 канадский стандарт	Risk Management Guidelines for Decision Makers	Руководящие указания по риск-менеджменту при принятии решении	—
JIS Q 2001:2001 японский стандарт	Guidelines for development and implementation of risk management system	Руководящие указания для разработки и выполнения системы риск-менеджмента	—
ONR 49000:2004 австрийский стандарт	Risk management for organizations and systems – Terms and principles	Риск-менеджмент для организаций и систем - Термины и принципы	—
ONR 49001:2004	Risk management for organizations and systems - Elements of the risk management systems	Риск-менеджмент для организаций и систем - Элементы систем риск-менеджмента	—
ONR 49002-1:2004	Risk management for organizations and systems - Part 1: Guidelines for risk management	Риск-менеджмент для организаций и систем - Часть 1: Руководящие указания для риск-менеджмента	—
ONR 49002-2:2004	Risk management for organizations and systems - Part 2: Guidelines for the integration of risk management into the general management system	Риск-менеджмент для организаций и систем - Часть 2: Руководящие указания по интеграции риск-менеджмента в систему общего менеджмента	—
ONR 49003:2004	Risk management for organizations and systems - Qualification of the risk manager	Риск-менеджмент для организаций и систем – Квалификация риск-менеджера	—
ONORM[63] S 2300	Risk, security and crisis management – Concepts	Риск, безопасность и кризис-менеджмент – Понятия	—
ONORM S 2310	Risk, security and crisis management - Selection and verification criteria for persons appointed for crisis management	Риск, безопасность и кризис-менеджмент - Критерии выбора и верификации лиц, назначенных для кризис-менеджмента	—

Одним из первых и наиболее полных и проработанных национальных стандартов в области управления риском эксперты признают Стандарт по риск-менеджменту Австралии и Новой Зеландии. Стандарт AS/NZS 4360 имеет общий (внеотраслевой) характер, его основные положения адаптированы для построения систем управления риском рядом транснациональных компаний.

Согласно стандарту AS/NZS 4360[64] управление риском на уровне компании представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного характера (рис. 3.1.). При этом под управлением риском в стандарте понимается «совокупность культуры, процессов и структур, ориентированная на использование потенциальных возможностей при одновременном управлении негативными воздействиями».

Стадия 1. Определение окружения (среды).

Среди факторов, определяющих необходимость анализа и идентификации внутренней среды компании, выделяются следующие:

· управление риском должно осуществляться в контексте определенных целей и задач организации;

· одним из основных рисков компании является возникновение препятствий в процессе достижения поставленных стратегических, операционных, проектных и прочих целей;

· четкая формулировка принципов организационной политики и целей компании будет способствовать определению основных направлений корпоративной политики в области управления рисками;

· цели и задачи компании по сегментам деятельности, а также целевые ориентиры, формируемые при реализации отдельных корпоративных проектов, должны рассматриваться в соответствии с целями компании как единого целого.

Рисунок 4.1. Составляющие процесса управления риском

(Стандарт риск-менеджмента Австралии и Новой Зеландии AS/NZS 4360)

Одной из результирующих данной стадии является решение задачи идентификации так называемых причастных (по отношению к рассматриваемой компании) сторон. При этом под причастной стороной (в литературе также широко применяются термины «заинтересованные стороны», «стейкхолдеры») понимается «любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженным воздействию риска»[65]. В соответствии с приведенным определением к причастным сторонам относятся, в частности, клиенты и контрагенты, внутрикорпоративные группы (персонал, менеджмент), неправительственные организации, государственные структуры, СМИ. Среди целей идентификации причастных сторон следует отметить:

· необходимость обеспечения лиц, принимающих решения, профилями причастных сторон для лучшего понимания их потребностей и ожиданий в отношении риск-менеджмента компании;

· формирования ключевых тезисов, которые лица, принимающие решения на уровне компании, предполагают донести до причастных сторон в процессе коммуникаций и консалтинга.

При этом следует отметить, что подобный «расширенный» подход к определению круга причастных сторон является преимуществом стандарта AS/NZS 4360. В теории риск-менеджмента существуют позиция, в рамках которой акценты смещаются в сторону рассмотрения, анализа осознания риска компании только ее акционерами и только финансовых результатов, что сужает информационную основу для формирования корпоративной системы управления риском, уменьшает гибкость вырабатываемых подходов.

Восприятие риска причастной стороной не статично и зависит от изменений, происходящих во внешней среде, специфики решаемой проблемы. Также следует отметить, что на различных стадиях управления риском сформированный перечень может корректироваться.

Примечательно, что расширенный подход к определению причастных сторон в настоящее время претерпевает качественное развитие. В частности, в материале исследования Международного совета по управлению риском (International Risk Governance Council)[66] вводится понятие «социальный контекст (среда) риск-менеджмента», которое подразумевает проведение структурирования совокупности причастных сторон: первый уровень – взаимодействие субъектов, сталкивающихся с рисковыми явлениями; второй уровень – принятие политических решений, регулирования, а также социо-политическое воздействие, превалирующее среди институциональных образований, влияющих на проистечение рисковых процессов, их организационные структуры и возможности необходимые для организации эффективного управления рисками[67]. Таким образом, на систематической основе предлагается проводить анализ действий отдельных индивидов, а также административных отношений. С точки зрения экспертов организации, необходимо исследовать, каким образом осуществляется принятие решений в области управления риском в ситуациях, когда в данный процесс вовлечен целый спектр сторон, что в свою очередь требует координации и увязки интересов.

В рамках рассматриваемой стадии управления риском также производится определение спектра целевых показателей деятельности, перечня элементов стратегии компании, параметров ее функционирования, на которые будут влиять процессы риск-менеджмента; обеспечение баланса возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента). Также следует определить требуемые ресурсы и учетные процедуры.

Стадия 2. Идентификация рисков.

На данной стадии должны быть идентифицированы риски, обусловленные особенностями внешней и внутренней среды, проанализированной на предыдущем этапе: рассматриваются все возможные источники риска, а также имеющаяся информация о восприятии риска (осознании риска) причастными сторонами как внутренними по отношению к организации, так и внешними.

Особые требования предъявляются в отношении качества информации (максимально возможный уровень релевантности, полноты, точности и временного соответствия при имеющихся ресурсах на ее получение) и ее источников.

Важно, чтобы персонал, задействованный в идентификации рисков, обладал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обуславливает необходимость участия в данном процессе специальных рабочих групп, составленных из экспертов различного профиля.

Стадия 3. Анализ рисков.

Результатом прохождения рассматриваемой стадии является определение уровня риска, отражающего оценки последствий и вероятности рисковых событий. Выделяют количественный и качественный анализ. Ценность и значение качественного анализа существенным образом повышаются в случае, если определение риска формируется широким кругом причастных сторон.

Стадия 4. Оценивание рисков.

Задачей данной стадии является принятие решения о допустимости/недопустимости риска (в отношении допустимого риска не применяются процедуры обработки риска, предусмотренные стадией 5 рассматриваемого процесса управления риском).

Оценивание риска предполагает исследование уровней подконтрольности рискового события, затрат на осуществление воздействия, потенциальных издержек и выгод, связанных с рисковым событием.

Результаты работы экспертов на данной стадии могут потребовать пересмотра критериев риска, установленных на первой стадии процесса (таким образом, решается задача обеспечения попадания всех значимых рисков в область анализа).

Стадия 5. Обработка риска (выбор метода регулирования рисков).

На данной стадии осуществляется работа с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопустимости для компании в соответствии с критериями, определенными на начальных стадиях рассматриваемого процесса управления рисками.

Альтернативные варианты обработки рисков:

· Избежание риска, осуществляемое либо посредством прекращения деятельности, сопряженной с недопустимым для компании уровнем риска, и выбором других, более приемлемых направлений деятельности, отвечающих задачам организации, либо в ходе избрания альтернативной, менее рисковой методологии в отношении организации рассматриваемого процесса или направления деятельности;

· Снижение вероятности реализации рискового события и (или) возможных последствий реализации; важно учитывать, что должен быть найден баланс между уровнем риска и издержками, сопряженными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, одновременно имея высокие издержки реализации, необходимые затраты требуют бюджетирования. Рекомендованные в рамках данной альтернативы процедуры: контроль; улучшение процессов; тренинги и повышение квалификации персонала; аудит и определение соответствия установленным правилам;

· Разделение риска с третьими сторонами (диверсификация). Необходимо учитывать, что передающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффективно управлять им;

· Удержание риска (локализация). Данная альтернатива применяется в отношении остаточных, а также невыявленных рисков.

Процесс 1. Коммуникации и консультирование.

На первых стадиях разработки стратегии управления рисками необходимо принять решение в отношении стратегии коммуникаций и консультирования (т.е. фактически предлагается начинать процесс управления риском с установления коммуникативных связей и консультирования). При этом в рассматриваемом стандарте наименование процесса указывает на необходимость ведения диалога между причастными сторонами (альтернатива одностороннему потоку информации от организации причастным сторонам), результатом которого должно быть аккумулирование взглядов и рекомендаций в отношении сущности, природы, формы, тяжести последствий и приемлемости рисков организации. Необходимо отметить, что в ряде стандартов (например, в рамках канадского стандарта по риск-менеджменту CAN/CSA-Q850 – 97) производится сужение описываемого процесса до осуществления коммуникации риска.

Процесс 2. Мониторинг и анализ.

Необходима интеграция данного процесса с представленными стадиями управления рисками – организация процессов мониторинга и анализа рисков на постоянной основе требуется для обнаружения изменений в характеристиках рисков/перечня рисков под влиянием изменений среды, подтверждения адекватности применения действующих процедур по риск-менеджменту в изменившихся обстоятельствах.

Среди методов проведения мониторинга и анализа рисков выделяют: внутренние программы проверок; внутренний и внешний аудит; изучение деятельности компании, осуществляемое уполномоченными организациями: парламентские комиссии, суды и прочие третейские рассмотрения; инвентаризация; и другие методы.

Необходимо отметить, что эксперты в области риск-менеджмента связывают качественное развитие системы стандартизации в данной сфере с выходом процесса с уровня национальных органов по стандартизации / профессиональных объединений на уровень Международной организации по стандартизации. Последнее позволит, в том числе, провести унификацию выработанных в действующих стандартах и руководствах в области риск-менеджмента подходов, прежде всего, с точки зрения используемого терминологического аппарата, понимания содержания элементов системы управления риском, связей между ними.

Русским обществом управления риском кроме рекомендаций COSO в качестве базового рассматривается Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA), который является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002 г.).

В отличие от рассмотренного документа COSO в части применяемой терминологии стандарт FERMA придерживается подхода, принятого в документах Международной организации по стандартизации (Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения»). В частности, риск определяется стандартом не развернуто и менее детально, а именно как «комбинация вероятности события и его последствий».

Рисунок 4.2. Блок-схема процесса управления риском согласно Стандартам управления рисками Федерации европейских ассоциаций FERMA

Это ограничивает возможности анализа рисков, как было отмечено при сравнении стандартов других стран. Вместе с тем, в стандарте FERMA риск-менеджмент рассматривается как центральная часть стратегического управления организацией, задачей которой является идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая система управления рисками должна включать в себя программу контроля над выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации, в соответствии с принятыми международными нормами.

Стандартом FERMA выделяются четыре группы рисков организации – стратегические, операционные и финансовые риски, а также опасности.

Кроме того, в документе приведены:

1. Краткая характеристика ключевых стадий процесса риск-менеджмента[68] (рис. 4.2.), в рамках которой обращает на себя внимание подробное описание требований к детализации информации в отчетах о рисках в зависимости от потребителя данной информации (среди потребителей внутренних отчетов – Совет директоров компании, ее отдельная структурная единица, конкретный сотрудник организации; внешних отчетов – внешние контрагенты организации). В частности, отчет о рисках компании для внешних пользователей информации должен включать описание:

· методов системы внутреннего контроля – а именно характеристику зон ответственности менеджмента организации в вопросах управления рисками;

· способов идентификации рисков и их практического применения в действующей системе управления рисками организации;

· основных инструментов системы внутреннего контроля в отношении наиболее значимых рисков;

· действующих механизмов мониторинга и слежения за рисками.

2. Описаниеорганизационной структуры управления риском (Совет директоров – Структурная единица – Риск-менеджер), а также основных требований к разработке нормативных документов в области риск-менеджмента на корпоративном уровне (Программа по управлению риском организации).

Если вернуться к вопросу, поставленному в начале параграфа: почему много, казалось бы, только частично различающихся стандартов управления рисками и хватит ли их сегодня и завтра, то ответ можно сформулировать так. Развитие стандартизации в области регулирования рисков шло постепенно по мере нарастания технологических, экономических, экологических, социальных проблем и их глобализации. Развитие национальных и международных стандартов регулирования рисков отражает этот процесс. Стандарты COSO в большей мере предназначены для приложения в корпоративных структурах, активно участвующих в биржевой торговле. Стандарт FERMA предполагается к использованию корпорациями, в большей мере, задействованными в производственной сфере или, говоря экономическим языком, в реальном секторе экономики. Именно поэтому, видимо, «Русриск» выбрал последний стандарт в качестве базового. Вместе с этим, другие стандарты также имеют право на жизнь в специальных сферах деятельности.

Кроме того, сравнение эволюции содержания стандартов (например, австралийского, американского) показывает их постепенный переход к более обобщенной форме, выделяя ключевые стадии процесса регулирования факторов риска. Наконец, развитие стандартов риск-менеджмента, в том числе в отдельных странах их модернизация и дополнение, свидетельствует о том, что эти процессы не могут закончиться, т. к. постоянно меняется контекст (как удачно названа среда) бизнеса, и возникают новые опасности, угрозы и риски. В следующем параграфе эти вопросы будут рассмотрены подробнее.