Особенности методов анализа рисков

Терминология управления рисками иногда (и довольно часто) подразумевает более четкий и логически выстроенный процесс, чем это возможно в реальной жизни. Это касается регулирования рисков (см. главу 1) и на уровне деятельности государства, и на уровне хозяйствующего субъекта. Государству, однако, приходится иметь дело со сложными условиями работы, с большим числом переменных и, что важно подчеркнуть с учетом поведенческих рисков, более сильным влиянием субъективного фактора, чем, к примеру, в малом и среднем бизнесе. Кроме того, государство вынуждено находить сложный баланс между противоборствующими позициями. Управление рисками связано как с ценностями в самом общем понимании (общечеловеческими), так и с ценностью в более узком, материальном понимании.

Терминология риска в некоторых случаях может вводить в заблуждение. Об этом уже шла речь во второй главе при обсуждении понятия риск как экономической категории или как результата деятельности предприятия, но тема далеко не исчерпана. Разные люди приписывают основным терминам разные значения. Важно было выработать общий язык, который был бы понятен и тем, кто работает в системе государственного управления (в том числе, регулирования рисков), и всем остальным, как занятым в хозяйственной деятельности, так и просто проживающим на территории страны. Целый ряд определений приводится в рассмотренных в предыдущем параграфе специальных национальных и международных стандартах[69], а также в разъяснительных документах, выпущенных Администрациями Премьер-министров европейских стран. Базовое определение Администрации в Великобритании «менеджмента риска» почти дословно воспроизводит его дефиницию из п. 1.3.20 австралийского стандарта AS/NZS 4360:2004 (именно он стал основой для разработки многих нормативных документов по менеджменту риска, в том числе и ISO/WD 31000, принятого в 2009 г.): «Менеджмент риска - это культура организаций (убеждения, ценности и поведение), процессы и структуры, которые направлены на реализацию потенциальных возможностей при управлении неблагоприятными эффектами». Как видно, стандарты под менеджментом риска не предусматривают комбинацию из двух слов - управление рисками, как можно было бы перевести на русский язык два простых слова.

Многие из других ключевых терминов и определений, например, последствие (consequence), событие (event), вероятность (probability), остаточный риск (residual risk), анализ риска (risk analysis), оценка риска (risk assessment), предотвращение риска (risk avoidance), коммуникация риска (risk communication), идентификация риска (risk identification), оптимизация риска (risk optimization), заимствованы из получившего широкое признание Руководства по терминологии ИСО/МЭК 73:2002 (в России - это национальный стандарт ГОСТ Р 51897-2002).

В данном пособии по возможности используется эта терминология, но ее нужно адаптировать и дополнить, чтобы охватить весь спектр деятельности управляющих структур государства и российских предприятий в области управления рисками. К основным общим сущностным моделям относятся следующие:

Риск означает деятельность в условиях неопределенности будущего результата, включая как позитивные (новые возможности), так и негативные (угрозы) последствия действий или событий. Это формирующее неопределенность будущего сочетание вероятности возникновения результатов деятельности субъекта и ожидаемого их воздействия, включая субъективное восприятие важности в условиях сегодняшней неопределенности[70]. В приведенном определении заключается признание того, что деятельность субъекта связана со значительной долей неопределенности внутренней и внешней природы. В данном случае намеренно избегают определений риска на основе критерия измеримости Ф. Найта (например, экономического разделения между риском и неопределенностью). Во многих случаях, когда речь идет, например, о наиболее актуальных для государства рисках, для их оценки требуется не только объективное измерение, но и значительный элемент субъективного суждения (например, будет ли та или иная политика пользоваться общественной поддержкой);

Управление рисками включает в себя все процессы, связанные с осознанием ситуации риска, выявлением, оценкой и формированием суждения о рисках, принятием мер, чтобы смягчить или предусмотреть риск, а также с порядком мониторинга и анализа. Либо, согласно определению Администрации Премьер-министра, это организация эффективного по затратам процесса в отношении того или иного риска.

Для управления рисками должны быть в наличии:

- порядок мониторинга рисков;

- доступ к достоверной и актуальной информации о риске;

- оптимальный уровень государственного контроля для управления этими рисками и

- порядок принятия решений на основе анализа и оценки риска.

Меры, принимаемые в ситуации риска – этот термин употребляется в более широком значении, включая как процессы собственно управления рисками (риск-менеджмент) на уровне предприятия (микро-уровень), так и вопросы общего плана, такие как подход государства к проблеме, его роли и обязанности, организационная культура (макро-уровень). Существует опасность, что управление рисками будут воспринимать как чисто механический процесс на уровне вычислительных программ. Это ошибочная тенденция, способная привести к тому, что реальные и важные проблемы будут упущены из виду. Поэтому в данном пособии особо подчеркивается ключевая роль обоснованного суждения в каждом аспекте системного управления рисками.

Типы риска. Основной акцент при анализе на макро-уровне делается на роли центрального правительства, хотя многие из рассматриваемых вопросов актуальны и для государственного сектора в целом, включая региональные и местные органы власти, и предприятия микро-уровня.

Факторы риски, с которыми приходится иметь дело государству, чрезвычайно разнообразны, а масштабы их постоянно растут. Начав на ранних этапах исторического развития с озабоченности безопасностью страны и поддержанием мира, активного участия в охране здоровья населения в девятнадцатом веке и защиты от социальных рисков в двадцатом веке («бевериджские пять гигантов»: нужда, болезнь, невежество, нищета и леность), государство теперь должно соответствовать все более высоким ожиданиям общества в плане защиты от неопределенности в связи с прогрессом науки и технологии и контроля рисков, которым подвергают потребителей коммерческие структуры.

Факторы риски, с которыми имеет дело население, бывают добровольными при более или менее высокой осведомленности о риске или же навязанными обществу извне по вине каких-либо лиц или организаций (например, риск преступности, риск в связи с промышленной продукцией или технологиями, риск аварий на АЭС), а также связанными с природными событиями (наводнение, тяжелые погодные условия). Растущее использование современных методов менеджмента (финансовый менеджмент, проектный и программный менеджмент) позволяет более эффективно организовать управление широким спектром рисков для бизнеса и государства (финансы, кадры, задержки с выполнением проектов, уровень обслуживания), т.е. процесс менеджмента риска.

Процесс менеджмента риска. Управление риском - неотъемлемая часть хорошего менеджмента организации в целом. Это повторяющийся процесс непрерывного ее усовершенствования, который является наилучшим вкладом в существующие практики и бизнес-процессы.

Главные (или ключевые в блок-схеме стандарта FERMA) стадии процесса менеджмента риска в широком понимании (рис. 4.3.) включают следующие виды управления:

- Поддержание связей и консультации. Поддерживайте коммуникации и консультируйтесь с внутренними и внешними заинтересованными сторонами в целом и в каждом элементе процесса управления риском.

Необходимо вовлечь в диалог все заинтересованные стороны, причем усилия должны быть сосредоточены на консультациях, а не на одностороннем потоке информации от лица, принимающего решение.

В нормативных документа[71] подчеркивается, что важно разработать план поддержания связей в отношении внутренних и внешних заинтересованных сторон на самой ранней стадии процесса, чтобы гарантировать, что лица, ответственные за осуществление менеджмента риска, и заинтересованные стороны понимают уровень риска, основание, на котором принимаются решения, и специфику контроля.

Очевидно, что заинтересованные стороны будут делать выводы о риске, основанные на их личном восприятии, которое может меняться из-за различий в ценностях, потребностях, предположениях, понятиях относительно рисков, процессов менеджмента риска, доверия к организации

Рис.4.3. Процессы риск-менеджмента в контексте неопределенности внутренней и внешней среды функционирования

и других проблем. Так как эти представления могут иметь существенное воздействие на принимаемые решения, важно, чтобы восприятие риска было идентифицировано, записано и обращено к процессам менеджмента риска.

- Установление контекста (анализ среды деятельности организации). Согласно уже упоминавшемуся стандарту, установление контекста определяет основные параметры, в рамках которых должно происходить управление рисками и которые устанавливают возможности для остальной части процесса менеджмента риска. Контекст включает внешнюю и внутреннюю среду организации и цель деятельности по управлению риском.

а) Установить внешний контекст. Этот шаг определяет внешнюю среду, в которой организация функционирует. Именно внешний контекст определяет отношения между организацией и ее внешней средой, поэтому важно гарантировать, что заинтересованные стороны, их взгляды и цели, а также внешние угрозы будут рассмотрены при разработке политики управления риском.

Внешний контекст может также включать:

- социальные, культурные, финансовые, политические и иные регулирующие аспекты;

- сильные и слабые стороны организации, ее конкурентоспособность;

- ключевые тенденции на рынках.

б) Установить внутренний контекст. Понимание внутренней среды организации и внутренних процессов включает изучение:

- внутренних заинтересованных сторон;

- внутренней организационной структуры;

- внутренних возможностей людских ресурсов, систем, процессов, капитала;

- целей и стратегий.

Установление внутреннего контекста важно, в частности, потому, что управление риском имеет место одновременно и в контексте достижения целей организации, и в контексте повседневных ее действий, а также помогает организации сосредоточиться на ее сильных и слабых сторонах для достижения целей, учитывая восприятие и ожидания заинтересованных сторон.

в) Установить контекст менеджмента риска. Область управления риском находится в зависимости от потребностей организации. Например, действия по управлению риском могут затронуть как всю организацию или ее часть, так и лишь отдельные процессы деятельности организации, проекты некоторых типов и т.д.

г) Разработать критерии риска. Необходимо определить критерии, относительно которых риск подлежит оцениванию на базе контекста. Решения относительно того, требуется ли обработка риска, могут базироваться на критериях эксплуатационного, технического, финансового, юридического, социального, экологического, гуманитарного и иного характера. Критерии могут также ориентироваться на восприятие заинтересованных сторон, законодательные и иные регулирующие требования.

Важными критериями риска, которые необходимо рассмотреть, являются:

- последствия, которые подлежат учету, и то, как они будут измерены;

- каким образом будет определена вероятность;

- как должен быть определен уровень риска;

- какой уровень риска может требовать обработки.

д) Определить структуру остальной части процесса. Этот шаг включает выполнение обзора предложенной структуры в пределах характеристик риска и его контекста относительно отдельных подразделений.

- Идентификация риска. Всесторонняя идентификация, использующая хорошо структурированный систематический процесс, является особенно важной, потому что риск, не идентифицированный в этом элементе, может быть исключен из дальнейшего анализа. Идентификация риска включает идентификацию источника риска, события и потенциальных последствий (если возможно, идентификация риска может также рассмотреть возможность управления риском). При этом необходимо получить ответы на довольно простые вопросы: что может случиться, когда, где, как и почему? Цель состоит в том, чтобы выявить исчерпывающий список источников рисков и событий, которые могут иметь воздействие на достижение каждой из целей, идентифицированных в контексте.

Существенно, чтобы лица, вовлеченные в идентификацию источников рисков, были хорошо осведомлены о детальных аспектах источника и причин риска. Идентификация источников рисков может также потребовать образного мышления и наличия соответствующего опыта.

Как следует из проекта, идентифицировав событие, которое может произойти, необходимо рассмотреть возможные причины и сценарии последствий. Важно, чтобы никакие существенные причины не были упущены. Выбор подходов, используемых для идентификации («мозговой штурм», сценарный анализ, анализ систем и т.д.), будет зависеть от характера рассматриваемых действий, типа риска, организационного контекста и цели.

- Анализ риска. В стандарте указывается, что результатом процесса должно явиться достаточно детальное понимание уровня риска и его характера для последующей обработки. Риск анализируется путем комбинации последствий и их вероятности. В большинстве случаев должен быть принят во внимание существующий контроль.

Предварительный анализ может быть выполнен на этом этапе или при идентификации риска, с тем, чтобы сходные риски были объединены для эффективности анализа, а риски низшего уровня исключены из детального изучения. Однако подобные риски, где возможно, должны быть внесены в список, чтобы продемонстрировать законченность анализа.

Источниками информации для анализа рисков могут быть:

- предыдущие записи, практика и соответствующий опыт;

- тематическая литература;

- маркетинговые исследования;

- результаты публичных консультаций;

- эксперименты и опытные образцы;

- экономические, проектные и другие модели;

- экспертные суждения.

Что касается используемого метода анализа, то на его выбор будут влиять соответствующий контекст, цели, доступные ресурсы и текущее состояние знаний. Среди используемых методов — интервью с экспертами в соответствующей области, использование междисциплинарных групп экспертов, индивидуальные оценки с использованием анкетных опросов, использование моделирования.

При этом в зависимости от обстоятельств анализ риска может быть (по мере снижения сложности и затрат): качественным, полуколичественным, количественным или комбинированным. Проект содержит характеристики каждого из них (в данной статье не рассматриваются).

- Оценивание риска. Оценивание риска, как следует из стандарта, состоит в том, чтобы принять решения, основанные на анализе риска, об обработке необходимых рисков и приоритетах такой обработки. Оценивание риска включает сравнение уровня риска, определенного в процессе анализа, с критериями риска, установленными, когда рассматривался контекст.

В некоторых случаях оценивание риска может иметь результатом решение о дальнейшем анализе или об отказе в обработке риска, учитывая существующий контроль.

- Обработка риска. Обработка риска включает идентификацию диапазона вариантов для обработки рисков, оценку этих вариантов, подготовку и выполнение планов обработки. Отбор самого адекватного варианта обработки является балансированием затрат осуществления каждого из вариантов относительно выгод, полученных в результате его реализации.

В целом надо учесть, что стоимость управления рисками должна быть соразмерна полученным выгодам.

Следует иметь в виду, что организация может извлечь выгоду и посредством комбинации вариантов. Примером может быть эффективное использование контрактов и определенных обработок риска, поддерживаемых соответствующим страхованием. При этом, если бюджет для обработки риска ограничен, план обработки должен ясно идентифицировать порядок приоритетов, в котором обработка риска выполняется.

Цель планов обработки - документировать процесс, используемый для выполнения выбранных вариантов. Планы обработки должны быть интегрированы с менеджментом

и бюджетными процессами в организации и должны включать:

- предлагаемые действия и ресурсные требования;

- обязанности и полномочия;

- выбор времени выполнения;

- эффективность мероприятий;

- требования отчетности и мониторинга.

Остаточный риск - это риск, который остается после того, как варианты обработки были идентифицированы, а планы обработки - осуществлены. Наряду с этим в данную категорию включают также весь неидентифицированный (нераспознанный) риск на уровне опасности и угроз. Важно, чтобы все заинтересованные стороны и лица, принимающие решения, знали о характере и степени остаточного риска. Поэтому он должен быть задокументирован, подвергнут мониторингу и анализу.

- Мониторинг и обзор. Как следует из стандарта, выполнение регулярного обзора является существенным для того, чтобы гарантировать, что план обработки продолжает оставаться уместным и адекватным. Могут измениться факторы, затрагивающие вероятность и последствия риска, обработанный риск или стоимость обработки.

Каждая стадия процесса менеджмента риска должна быть зафиксирована документально, в том числе выдвинутые предположения, применяемые методы, источники данных, анализы, результаты и причины принятых решений. Записи процессов - важный фактор успешного корпоративного управления.

Решения относительно создания и объема записей должны принять во внимание юридические и деловые потребности в них, стоимость их создания и поддержания в рабочем состоянии, выгоды от многократного использования информации.

- Осуществление интегрированного управления риском. Управление включает:

1. Разработка интегрированного плана менеджмента риска по всей организации. Это позволит эффективно и всеобъемлюще осуществить управление риском по всем подразделениям организации, системам, процессам и методам. В стандарте справедливо отмечается, что во многих организациях существующие методы управления и процессы уже включают элементы менеджмента риска, а некоторые организации уже внедрили процессы менеджмента для специфических категорий риска. Поэтом перед разработкой плана организация должна критически проанализировать и оценить те элементы процесса управления риском, которые уже применяются. Этот обзор должен отразить потребности организации в управлении риском и его контекст. Результатом должна стать структурированная оценка:

- зрелости, характеристик и эффективности существующего бизнеса, культуры и систем управления риском;

- степени интеграции и последовательности управления риском внутри организации, в том числе различных типов рисков;

- процессов и систем, которые должны быть модифицированы или расширены;

- ограничений, которые могут препятствовать внедрению систематического управления риском;

- законодательных и иных регулирующих требований;

- ограниченности ресурсов.

Цель плана должна состоять в том, чтобы включить управление рисками в важнейшие методы, практику и бизнес-процессы так, чтобы это было уместно, эффективно и надежно. В частности, менеджмент риска должен быть внедрен в разработку политики, стратегическое планирование, управление активами, аудит, экологический менеджмент, противодействие мошенничеству, управление инвестициями и т.д. При этом план может включать определенные разделы для специфических функций, областей, проектов, действий или процессов. Практически этими разделами могут быть отдельные планы, в этом случае они должны быть совместимы с политикой управления риском в целом в организации.

2. Определение и документирование политики менеджмента риска. Политика менеджмента риска может включать описание, в частности, следующего:

- цели и объяснение того, как управлять риском;

- связи между политикой и стратегическими планами организации;

- процессы, которые используются, чтобы управлять риском;

- детали доступной поддержки и экспертизы, чтобы оказывать помощь ответственным лицам в управлении рисками;

- заявление о том, каким образом характеристики управления риском будут измерены и представлены в отчете;

- обязательство к периодическому обзору системы управления риском;

- обязательства относительно политики менеджмента риска со стороны высшего руководства организации.

4.3. Развитие международной стандартизации в области риск-менеджмента - стандарт ИСО 31000 «Риск-менеджмент – Руководство по оценке риска»

В рамках Международной организации по стандартизации разработаны и действуют стандарты, рассматривающие отдельные аспекты управления риском по ряду направлений деятельности, например, в нефтегазовой отрасли, в сфере эксплуатации промышленного и медицинского оборудования и другие.

В 2002 г. в целях унификации терминологии в области управления риском, в том числе и при разработке стандартов на различных уровнях, вступило в силу Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения» (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for use in standards»).

Следующим уровнем развития стандартизации в области риск-менеджмента является подготовка общего стандарта ИСО в области управления рисками.

Стандарт ИСО 31000 «Риск-менеджмент – Принципы и руководства по применению» (Risk Management – Principles and guidelines on implementation), разработку которого осуществляла Рабочая группа по стандартизации в области риск-менеджмента (из представителей национальных органов по стандартизации 26 стран), был принят в 2009 г. Одновременно осуществлялся пересмотр вышеупомянутого стандарта Руководство ИСО/МЭК 73:2002, разработка стандарта ИСО/МЭК 31010 «Риск-менеджмент – Руководство по оценке риска» (ISO/IEC 31010 Risk Management – Risk assessment guidelines)[72].

За основу при подготовке проекта стандарта ИСО 31000 разработчиками был принят стандарт Австралии и Новой Зеландии (2005 г.), о чем, в частности, свидетельствует схожесть использованного подхода к определению и описанию процесса риск-менеджмента и его отдельных составляющих. Вместе с тем существуют отличия. Например, проектом стандарта ИСО 31000 стадии «Идентификация риска», «Анализа риска», а также «Оценивание риска» рассматриваются не самостоятельно, а в качестве составляющих стадии «Оценка риска». Кроме того, отдельным образом подчеркивается необходимость документирования процесса управления риском с учетом выгод повторного использования накопленной информации для целей управления, оценки затрат на создание и хранение документов и ряда других факторов.

Вместе с тем характеристика принципов риск-менеджмента и описание модели управления риском отделены в рамках стандарта от характеристики собственно процесса риск-менеджмента. Подчеркивается, что процесс управления риском не существует сам по себе, а должен стать составным элементом управления в организации, должен внедряться в организационную культуру, настраиваться под действующие в рамках организации бизнес-процессы.

Среди принципов управления риском, определяющих его эффективность, обращают на себя внимание следующие тезисы, приведенные в тексте стандарта:

· Риск-менеджмент создает стоимость, то есть вносит вклад в достижение поставленных целей, а также в совершенствование в таких областях как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятельности, корпоративное управление, репутация[73].

· Риск-менеджмент – неотъемлемая часть организационных процессов в компании.

· Риск-менеджмент – составная часть процесса принятия решений в организации.

· Риск-менеджмент должен быть специально «настроен» с учетом специфики деятельности организации.

· Риск-менеджмент учитывает существование человеческого и культурного факторов.

Применение установленной стандартом модели управления риском[74] (рис. 3.5.) должно обеспечить эффективность риск-менеджмента, его интеграцию в общую систему управления компанией, а также должно способствовать использованию информации о риске при принятии решений на всех уровнях организационной иерархии, гарантировать адекватное отражение данной информации в отчетности компании.

В рамках модели особая роль отводится руководству организации, которое должно создать условия для внедрения управления рисками в рамках организации, а также для достижения текущей эффективности риск-менеджмента.

Таким образом, проектом стандарта, уделяется внимание не только описанию того как организовать процесс риск-менеджмента, но и рассматривается связь данного процесса с другими процессами организации.

Кроме того, в Приложении А стандарта определены атрибуты расширенного подхода к управлению рисками, в числе которых:

- непрерывное совершенствование и коммуникации;

- всесторонняя ответственность за риски, контроль риска, выполнение задач по обработке риска;

- центральное место риск-менеджмента в иерархии организационных процессов.

Таким образом, мировая практика демонстрирует активное развитие процессов стандартизации в области управления риском, в том числе на национальном и международном уровнях. Обозначенные стандарты определяют цели, задачи, элементы системы, этапы процесса управления рисками, необходимую организационную структуру. При этом схемы, заложенные в рассмотренных документах, могут быть использованы в качестве основы для процессов разработки и последующего внедрения корпоративных систем управления рисками.

Представленные в стандартах по риск-менеджменту подходы к организации процесса управления рисками носят общий внеотраслевой характер, отличаются различной степенью детализации. Вместе с тем их несомненной ценностью, в том числе и с позиции развития риск-менеджмента в России, является определение общего направления процессов построения корпоративных систем управления риском на практике.

Рисунок 4.4. Модель управления риском согласно стандарта ИСО 31000 «Риск-менеджмент. Принципы и руководства по применению»

Применение изложенных подходов на национальном и корпоративном уровнях стандартизации в России, в том числе и в рамках построения корпоративных систем управления риском позволит:

· проводить оценку применяемых компанией подходов к организации управления рисками как экспертам в самой организации, так внешним стейкхолдерам; выявлять слабые и сильные стороны корпоративного риск-менеджмента с точки зрения изложенных в стандартах общепринятых подходов;

· сократить затраты на подготовку основополагающих документов корпоративной системы управления риском и внесение необходимых изменений в организационную структуру, сосредоточившись на «настройке» типовых подходов под требования бизнеса;

· повысить эффективность процесса передачи функций по проектированию и внедрению корпоративных систем риск-менеджмента на аутсорсинг (в случае, если компания планирует прибегнуть к подобным услугам), вследствие появления возможности переложения на единую терминологическую базу рекомендации по построению отдельных элементов единой системы, поступающих от различных третьих организаций;

· осуществлять обмен опытом в области риск-менеджмента в практической и теоретической плоскостях (в том числе на национальном и международном уровнях).

Вопросы для самоподготовки и литература по главе 4

1. Проанализируйте состояние и перспективы стандартизации в области риск-менеджмента в России и других странах.

2. Опишите основные идеи и концепции, положенные в основу современных стандартов, разработанных международными профессиональными объединениями риск-менеджмента.

3. Опишите основные идеи и концепции, положенные в основу современных стандартов риск-менеджмента, изданных национальными органами по стандартизации.

4. Дайте оценку и анализ современных процессов стандартизации в области риск-менеджмента на международном уровне.

5. Как трактует стандарты COSO, FERMA и Standard ISO/DIS 31000 понятие риск-менеджмента. В чем причина различий содержания термина.

6. Как понимается и что включает термин «оценка риска» в стандарте ISO/DIS 31000?

7. Почему этап «внедрение риск-менеджмента» в стандарте ISO/DIS 31000 предусматривает два раздела:

(1) внедрение модели риск-менеджмента, в том числе определение временных рамок и стратегии внедрения, наложение политики управления риском и процесса риск-менеджмента на организационные процессы и

(2) внедрение процесса управления риском.

Как они связаны и какова последовательность их реализации?

Литература

1. ГОСТ 1.1-2002 «Межгосударственная система стандартизации. Термины и определения».

2. ГОСТ Р 51897 – 2002 «Менеджмент риска. Термины и определения». Управление рисками организаций. Интегрированная модель. Краткое изложение COSO, 2004.

3. Управление рисками организаций. Интегрированная модель // «Риск-менеджмент», №№ 5–6, 7–8, 9–10, 11–12, 2007; 1–2, 2008.

4. Стандарты управления рисками Федерации европейских ассоциаций риск-менеджеров, 2003.

5. Я. Филопулос. Формирование политики и институциональная основа оценки риска в ЕС. Рекомендации по созданию в стране системы оценки риска. – М., 2008.

6. AS/NZS 4360:2004 - Risk Management, issued by Standards Australia.

7. CSA (1997) Risk Management: Guideline for Decision-Makers – A National Standard of Canada / Canadian Standards Association (1997 reaffirmed 2002) CAN/CSA-Q850-97.

8. Draft International Standard ISO/DIS 31000 «Risk management – Principles and guidelines on implementation», ISO, 2008.

9. Kevin W. Knight. Risk Management - a journey, not destination. January, 2006.

10. Marc Saner. Information Brief on International Risk Management Standards. Institute On Governance, Canada, 30 November 2005.

11. Enterprise Risk Management – Integrated Framework Executive Summary.-Committee of Sponsoring Organization of the Treadway Commission (COSO), 2004.

12. ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты.

Глава 5. Анализ и регулирование рисков как системного фактора развития хозяйствующего субъекта (на примере внедрения инноваций)