Опубликовано в журнале "Менеджмент в России и за рубежом" №2 год - 2014
Плетнёва Н.П.,
доцент кафедры производственного менеджмента
Мордовского государственного университета
Сажина Н.С.,
доцент кафедры статистики
Мордовского государственного университета
Прокомментированы положения международного стандарта ИСО 31000-2009, позволяющего организациям разработать процесс менеджмента риска.
Организации всех типов и видов деятельности испытывают влияние внутренних и внешних факторов, вносящих элементы неопределённости в достижение их целей.
Воздействие этой неопределённости на цели организации является риском.
Любая деятельность организации включает риск. Организации управляют рисками, идентифицируя их, анализируя и оценивая возможность их уменьшения для удовлетворения критериев риска. В ходе этого процесса они обмениваются мнениями с заинтересованными сторонами, проводят мониторинг и анализ риска и средств его ограничения. Их цель – получить уверенность в том, что действий по ограничению риска больше не требуется. Международный стандарт ИСО 31000-2009 подробно описывает этот систематический и логический процесс.
Поскольку все организации так или иначе управляют риском, стандарт ИСО 31000-2009 устанавливает принципы результативного управления риском. Стандарт рекомендует организациям разработать, внедрить и постоянно улучшать основу для интеграции процесса менеджмента риска в практику управления организацией. Менеджмент риска можно применять ко всей организации, её областям и уровням в любое время, а также к функциям, проектам и видам деятельности. Стандарт не предназначен для целей сертификации.
Общий подход, описанный в рассматриваемом стандарте, содержит принципы и руководящие указания по менеджменту любых рисков. Каждый конкретный сектор экономики имеет индивидуальные потребности, предпочтения и критерии. Взаимосвязь между принципами управления рисками, структурой, где оно происходит, и процессом менеджмента рисков, описанная в настоящем международном стандарте, показана на рисунке 1. В скобках указаны номера соответствующих разделов и подразделов стандарта.
Внедрение и поддержание процесса менеджмента риска в соответствии с ИСО 31000-2009 дают возможности организации:
– повысить вероятность достижения целей;
– осуществлять проактивный менеджмент;
– быть осведомлённым о необходимости идентификации и снижения рисков по всей организации;
– улучшить идентификацию возможностей и угроз;
– соответствовать применимым законодательным и обязательным требованиям и международным нормам;
– улучшить обязательную и добровольную отчётность;
– улучшить управление;
– повысить доверие заинтересованных лиц;
– установить надёжную основу для принятия решений и планирования;
– улучшить контроль;
– результативно распределить и использовать ресурсы для снижения рисков;
– улучшить результативность и эффективность функционирования;
– уменьшить факторы, влияющие на здоровье и безопасность, а также повысить защиту окружающей среды;
– улучшить предотвращение потерь и несчастных случаев;
– снизить потери;
– улучшить обучение организации;
– улучшить устойчивость организации.
Стандарт предназначен для широкого круга пользователей, включая:
а) ответственных за разработку политики в области менеджмента риска в организации;
б) лиц, которым необходимо получить уверенность в том, что в организации
в целом или в конкретной области, проекте, виде деятельности результативно управляют рисками;
в) лиц, занимающихся оценкой результативности менеджмента риска в организации;
г) разработчиков стандартов, руководящих указаний, процедур, устанавливающих общий или частный порядок менеджмента риска с учётом специфики этих документов.
Для того чтобы менеджмент рисков был результативным, организация должна на всех уровнях следовать приведённым ниже принципам, а именно менеджмет рисков:
а) создаёт и защищает ценности;
б) неотъемлемая часть всех процессов, протекающих в организации;
в) часть процессов принятия решений;
г) адресуется непосредственно к неопределённости;
д) является систематическим, структурированным и своевременным;
е) основан на наилучшей имеющейся информации;
ж) связан с областями применения;
и) принимает во внимание человеческие и культурные факторы;
к) является прозрачным и предполагает вовлечение;
л) является динамичным, повторяющимся и чувствительным к изменениям;
м) облегчает непрерывное совершенствование организации.
Успех менеджмента риска будет зависеть от результативности структуры менеджмента риска при условии, что она будет задействована на всех уровнях организации.
Структура помогает результативно управлять рисками, используя процесс менеджмента риска на различных уровнях и в конкретной среде организации. Структура гарантирует, что информация, полученная из процесса менеджмента риска, должным образом сообщается и используется в качестве основы при принятии решений и установления ответственности на всех уровнях организации.
Взаимодействие между компонентами структуры менеджмента риска показано на рисунке 2.
Менеджмент рисков и обеспечение его результативности требуют стратегического и строгого планирования для выполнения обязательств на всех уровнях. В соответствии с положениями стандарта руководство организации должно:
– определить и одобрить политику в области менеджмента риска;
– гарантировать соответствие политики менеджмента риска и культуры организации;
– определить показатели функционирования менеджмента риска, соответствующие показателям функционирования организации;
– привести в соответствие цели в области менеджмента риска с целями и стратегиями организации;
– гарантировать соответствие законодательным и обязательным требованиям;
– определить ответственность и полномочия на соответствующих уровнях организации;
– гарантировать обеспечение менеджмента риска необходимыми ресурсами;
– информировать о преимуществах менеджмента рисков всех заинтересованных лиц;
– гарантировать, что структура менеджмента риска продолжает оставаться соответствующей.
Стандарт ИСО 31000-2009 содержит требования к политике в области менеджмента рисков. Политика в области менеджмента рисков должна быть доведена до сведения персонала организации. Политика должна ясно заявить о целях и приверженности организации деятельности в области менеджмента риска и содержать следующие обоснованные утверждения:
– основания для менеджмента риска в организации;
– связи между целями организации и политикой в области менеджмента риска;
– ответственность и полномочия в области менеджмента риска;
– способ разрешения конфликтов интересов;
– обязательство обеспечивать ресурсами ответственных за менеджмент рисков;
– способ измерения показателей функционирования в области менеджмента риска и информирования о полученных результатах;
– обязательство анализировать и улучшать политику и структуру в области менеджмента рисков периодически и в ответ на событие или изменение обстоятельств.
Стандарт ИСО 31000-2009 требует установить ответственность и полномочия, а также соответствующую компетентность в области менеджмента риска, включая внедрение и поддержание процесса менеджмента риска, и обеспечить адекватность, результативность и эффективность всех средств управления.
В соответствии с положениями стандарта управление рисками должно быть включено во все процессы и практику организации уместным, результативным и эффективным способом. Процесс менеджмента риска должен стать частью процессов организации. В частности, процесс менеджмента риска должен быть включён в разработку политики, бизнес-планирование и стратегическое планирование, а также в анализ и процессы управления изменениями.
Организация должна определить критерии, которые будут использоваться для оценки значимости риска. Критерии должны отражать ценности организации, цели и ресурсы. Некоторые критерии могут быть получены из законодательных и обязательных требований, а также других институциональных требований, которые должна выполнять организация. Критерии риска должны быть совместимыми с политикой в области менеджмента риска. Их необходимо определять на начальных этапах процесса менеджмента риска и постоянно анализировать.
Процесс менеджмента риска показан на рисунке 3.
Оценка риска представляет собой полный процесс идентификации риска, анализа риска и оценки риска. Методики оценки риска приводятся в ИСО/МЭК 31010.
Анализ риска предполагает понимание риска. Анализ риска обеспечивает вход для оценки риска и для решений о том, нуждается ли риск в обработке, какие стратегии и методы обработки являются подходящими. Анализ риска предполагает рассмотрение причин и источников риска, их положительных и отрицательных последствий, а также вероятности наступления этих последствий.
Обработка риска предполагает выбор одного или более вариантов изменения риска и внедрение этих вариантов. При внедрении обработки обеспечивают или изменяют средства управления. Варианты обработки рисков могут рассматриваться и применяться индивидуально или в комбинации. Организация обычно получает преимущества от принятия комбинации вариантов обработки.
Обработка риска может привести к новым рискам. Значительным риском может быть неудачная или нерезультативная обработка риска. Неотъемлемой частью плана обработки риска должен быть мониторинг, который позволит убедиться, что принятые меры остаются результативными.
Планы обработки риска должны содержать следующую информацию:
– причины выбора вариантов обработки, включая ожидаемые преимущества, которые будут получены;
– ответственных за утверждение и внедрение плана;
– предложенные меры;
– потребности в ресурсах, включая непредвиденные обстоятельства;
– меры повышения производительности и ограничения;
– отчётность и мониторинг требований;
– выбор времени и график.
Планы обработки должны быть объединены с управленческими процессами организации и обсуждены с соответствующими заинтересованными лицами.
Лица, принимающие решения, и другие заинтересованные лица должны знать о характере и масштабах остаточного риска после обработки риска. Остаточный риск должен быть документирован и подвергнут мониторингу, анализу и, где возможно, дальнейшей обработке.
Мониторинг и анализ должны быть запланированной частью процесса менеджмента риска и включать регулярную проверку или контроль. Они могут быть периодическими или оперативными.
Должна быть чётко определена ответственность за мониторинг и анализ.
Процессы мониторинга и анализа должны охватить все аспекты процесса менеджмента риска в целях:
– гарантирования результативности и эффективности средств управления на этапе проектирования и использования;
– получения дополнительной информации для улучшения оценки риска;
– анализа и усвоения уроков из событий, изменений, трендов, успехов и отказов;
– обнаружения изменений во внешней и внутренней среде, включая изменения критериев риска и самого риска, которые могут потребовать пересмотра обработки риска и приоритетов;
– идентификации рисков, находящихся в стадии становления.
Прогресс во внедрении планов обработки риска делает необходимым измерение производительности. Результаты могут быть включены в управление общей производительностью организации, измерение и внешние и внутренние операции отчетности.
Результаты мониторинга и анализа должны быть отражены в записях и внешней, и внутренней отчётности, а также должны использоваться на входе анализа структуры менеджмента риска.
Литература
1. ISO31000 ≪Risk management – Principles and guidelines≫. – First edition 2009-11-15.
