Классификация организационных рисков в стандарте ferma. Стандартизация системы риск-менеджмента предприятия

Стандарты COSO и FERMA. В документе «Управление рисками организаций. Интегрированная модель», разработанном Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission - COSO) , приводятся основания для разработки концепций построения СУР и рекомендации для реализации рациональной процедуры ее создания.

Однако отечественная некоммерческая организация «РусРиск» рекомендует и стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA), созданный в 2002 г. Институтом риск-менеджмента (IRM), Ассоциацией риск- менеджмента и страхования (AIRMIC) и Национальным форумом по риск-менеджменту в общественном секторе.

На рис. 5.2 и 5.3 представлены процессы риск-менеджмента в стандартах COSO и FERMA.

Рис. 5.2.

Рис. 5.3.

Стандарт FERMA опирается на терминологию Международной организации по стандартизации (Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения»). Так, в отличие от стандартов отдельных стран стандарт FERMA определяет риск как «комбинацию вероятности события и его последствий», что является ограничением документа. В то же время СУР в стандарте FERMA ставится в центр системы управления стратегией, а в качестве важнейших называются стратегические, операционные и финансовые риски и опасности.

В стандарте FERMA также содержатся:

• ? сжатое описание основных элементов процедуры управления риском с учетом зависимости содержания информации от типа ее получателя;
• ? перечень подразделений организации, участвующих в работе СУР, и главные требования к формированию документации, сопровождающей управление риском.

Стандарт FERMA целесообразно использовать в корпорациях, в большей мере задействованных в производственной сфере, или, говоря экономическим языком, в реальном секторе экономики.

• ? риск - это комбинация вероятности события и его последствий;
• ? опора на системный подход;
• ? оптимизация процедур управления риском на основе анализа процессов, происходящих в бизнесе, контента, благоприятных и неблагопрятных факторов;
• ? эффективное управление капиталом и ресурсами;
• ? понижение уровня неопределенности влияния факторов;
• ? соблюдение интересов собственников и улучшение имиджа организации;
• ? повышение квалификации работников и создание организационной базы знаний;
• ? оптимизация бизнес-процессов.

Стандарты COSO предназначены в большей мере для приложения в корпоративных структурах, активно участвующих в биржевой торговле.

В соответствии с данным стандартом СУР основывается на следующих положениях :

• ? оценка риск-аппетита, обусловленная стратегическими целями организации;
• ? улучшение процедур формирования адекватных действий по отношению к рискам;
• ? понижение уровня неопределенности среды;
• ? выявление максимального перечня рисков и воздействие на них;
• ? выявление благоприятных факторов и реализация предоставленных шансов;
• ? эффективное управление капиталом.

Сравнение эволюции содержания стандартов (например, австралийского, американского) показывает их постепенный переход к более обобщенной форме с выделением ключевых стадий процесса регулирования факторов риска. Кроме того, развитие стандартов риск-менеджмента, в том числе их модернизация и дополнение в отдельных странах, свидетельствует о том, что эти процессы не могут закончиться, так как постоянно меняется контекст бизнеса и возникают новые опасности, угрозы и риски.

Новые международные стандарты. Разработка международных стандартов продолжается. Единообразие терминов обеспечивает Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения» (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for use in standards»), вышедшее в 2002 г.

В 2009 г. Международная организация по стандартизации опубликовала Стандарт ИСО 31000 «Риск-менеджмент. Принципы и руководства по применению» (Risk Management. Principles and guidelines on implementation) . Созданы также стандарты для отдельных видов деятельности (нефтегазовой, производства медицинского оборудования и проч.) .

Стандарт ИСО 31000 разрабатывался на базе уже упоминавшегося австралийско-новозеландского стандарта. Процесс управления рисками в стандарте ИСО представлен на рис. 5.4. Как следует из рис. 5.1 и 5.4, схемы процессов риск-менеджмента в стандарте ИСО и австралийско-новозеландском стандарте очень похожи. Однако кроме отличий в интерпретации похожих по названию элементов для стандарта ИСО характерна одновременная реализация процессов идентификации, анализа и оценки рисков, что не предусмотрено в австралийско-новозеландском стандарте.

Установление контекста предполагает анализ внешней и внутренней среды организации, а именно:

• ? установление внешнего контекста - оценка связей с внешней средой и внешних угроз;
• ? установление внутреннего контекста - определение элементов системы, представляющей организацию, внутренних связей, ресурсного обеспечения, целевых и стратегических установок;
• ? установление контекста менеджмента риска - выделение процессов, на которые СУР может повлиять;
• ? выявление критериев риска, по которым определяется необходимость воздействия на него и которые могут принадлежать к сфере организации бизнеса, технологий, права, экономики, социальных и экологических вопросов и т.д., отражать отношение причастных лиц к риску, положения нормативных ак-

Рис. 5.4.

тов. К таким критериям, в частности, относятся результаты оценки реализации рисковых факторов;

Описание системы управления обрабатываемым риском в разрезе подразделений.

В ходе оценки рисков параллельно реализуются также следующие процессы:

• ? идентификация рисков - устанавливаются вероятные источники рисковых факторов и оцениваются результаты их реализации;
• ? анализ риска - устанавливаются вероятности и результаты реализации рисковых факторов. Может осуществляться качественный или количественный анализ или анализ с использованием комбинированных методов;
• ? оценивание риска - по результатам анализа риска в процессе оценивания по критериям риска выявляется риск, на который может быть оказано воздействие.

• ? обработка риска - выбирается рациональная процедура воздействия на риск, составляется и реализуется план воздействия, оценивается и описывается остаточный риск. При планировании обработки определяются: содержание процедуры воздействия и требуемые ресурсы, распределение прав и обязанностей, эффективность процедуры, содержание отчетной документации и технология мониторинга;
• ? мониторинг и обзор - постоянное документирование всех мероприятий и их последствий.

Процедура комплексного управления риском состоит из нескольких элементов.

• 1. Планирование процедуры управления риском. Данная процедура управления должна быть интегрирована в политику организации, стратегию, управление активами и пассивами, инвестиционный менеджмент, аудит, технологии противодействии криминальным проявлениям и т.д.
• 2. Формирование политики управления риском. Политика должна оформляться документально и содержать описание: целевых установок и технологии управления, соотношения содержания политики и стратегий, процедур воздействия на риск, процедур помощи лицам, участвующим в управлении рискам, процедур измерения и документирования процесса управления, процедур периодического измерения СУР, функций топ-менеджмента по отношению к процессу управления.

В отличие от концепции COSO, где риск-менеджмент представляется как процесс, направленный на определение событий и управление связанным с ними риском, в стандартах ISO риск-менеджмент - это скоординированные действия по управлению и контролю над организацией с учетом риска. Соответственно процесс менеджмента риска представляет собой систематическое применение политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, определению контекста и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска.

Модель СУР, описанная в стандарте (рис. 5.5), предназначена для повышения эффективности управления организацией.

В приложениях к стандарту отмечаются:

• ? необходимость постоянного улучшения процессов управления и коммуникаций;
• ? важность установления ответственности, контроля и практической реализации процедур воздействия на риск;
• ? главенствующая роль управления рисками в структуре организации.

Риск-менеджмент как технология управления за последние 10-15 лет переживает за рубежом и в России период своего активного становления. Особую важность приобретает проблематика формирования единого понимания цели и задач системы риск-менеджмента, применяемой терминологии, организационной структуры и самого процесса риск-менеджмента, адаптированных к современным российским условиям. Мировая практика предлагает один из универсальных подходов к решению данной проблемы – унификация и стандартизация в области управления рисками.

Согласно определению Международной организации по стандартизации (ISO - ИСО), стандарт – нормативный документ, который разработан на основе консенсуса, принят признанным на соответствующем уровне органом и устанавливает для всеобщего и многократного использования правила, общие принципы и характеристики, касающиеся различных видов деятельности или их результатов, и который направлен на достижение оптимальной степени упорядоченности в определенной области. Стандарты должны быть основаны на обобщенных результатах науки, техники и практического опыта и направлены на достижение оптимальной пользы для общества

В последние годы отчетливо проявилась тенденция к тиражированию в ряде стран, в том числе в России, стандартов управления рисками, разработанных впервые 10 – 15 лет назад и касающихся преимущественно техногенных опасных факторов. К их числу следует отнести ГОСТ 27.310-95 «Анализ видов, последствий и критичности отказов», ГОСТ Р 51901-2002 «Управление надежностью. Анализ риска технологических систем», ГОСТ Р 51897‑2002 «Менеджмент риска. Термины и определения», а также ГОСТ ы ИСО/ТО 12100-1 и 2 - 2002 «Безопасность оборудования. Основные понятия, общие принципы конструирования» и другие.

ГОСТ Р 51901.2-2005 Менеджмент риска. Системы менеджмента надежности,

ГОСТ Р 51901.13-2005 Менеджмент риска. Анализ дерева неисправностейи ряд других В течение 5-6 лет было разработано 8 стандартов риск-менеджмента, и эта работа далеко не закончена. В 2009 г. был подготовлен и в августе 2010 г. принят новый стандарт - ISO 31000 «Общие указания по принципам и реализации менеджмента риска».

Повышенное внимание со стороны консультантов в области риск-менеджмента, действующих на российском рынке, уделяется документу «Управление рисками организаций. Интегрированная модель», разработанному Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO)

Русским обществом управления риском кроме рекомендаций COSO в качестве базового рассматривается Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA), который является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002 г.).

В настоящее время в России действует огромное количество государственных стандартов, из которых лишь незначительную долю, менее 1% составляют стандарты, связанные с предпринимательскими рисками, а ведь именно данный вид рисков чрезвычайно важен для любого хозяйствующего субъекта. Мировая практика риск-менеджмента считает стандарт образцом, к которому стоит стремиться. В сфере управления рисками стандартов немного. В то же время корни существующих российских стандартов по управлению рисками, а также огромное число рекомендованных отраслевых практик, идут из-за рубежа, закладывая в основу принципы зарубежной действительности.

Для общего представления о стандартах риск-менеджмента необходимо ознакомиться с некоторыми из них: стандарт «FERMA», некоторые постулаты закона «Сарбейнса-Оксли», стандарт «COSO II» и южно-африканский стандарт – «KING II».

Стандарт по управлению рисками «FERMA» был разработан совместно институтом риск-менеджмента в Великобритании (The Institute of Risk Management), Ассоциацией риск-менеджмента и страхования (The Association of Insurance and Risk Management) и Национальным Форумом риск-менеджмента в Общественном Секторе (The National Forum for Risk Management in the Public Sector) и принят в 2002 году. Схема, заложенная в документе, служит основой для внедрения системы управления рисками. Эти стандарты управления рисками содержат: определение риска, риск-менеджмента, объяснение внутренних и внешних факторов риска, процессов риск-менеджмента, процедуры оценки рисков, методы и технологии анализа рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера. Согласно данному документу риск рассматривается как комбинация вероятности и его события, а риск-менеджмент - в качестве центральной части стратегического управления организации. К примеру, основными функциями специалиста по рискам, согласно стандарту «FERMA», являются разработка и реализация программы управления рисками, координация взаимодействия различных структурных подразделений организации, разработка программ снижения внеплановых потерь и организация мероприятий по поддержанию непрерывности бизнес процессов. Основная идея данного стандарта заключается в том, что принятие стандарта необходимо для достижения согласия по вопросам используемой терминологии, процесса практического применения риск менеджмента, организационной структуры риск-менеджмента, целей риск-менеджмента. Особенно важно понимание того, что риск-менеджмент - это не просто инструмент для коммерческих и общественных организаций, а руководство для любых действий (причем как в краткосрочном, так и в долгосрочном плане).

Один из немногих законодательно утвержденных стандартов в сфере управления рисками является «Закон Сарбейнса-Оксли» (Sarbanes-Oxley Act). Данный закон рассматривает, прежде всего, вопросы внутреннего контроля и достоверности финансовой отчетности, а также косвенно регулирует процесс управления рисками. В законе нет руководящих указаний по разработке конкретных процедур финансового контроля. Стандарт предлагает анализ поступающих данных о ходе процессов и проверку соответствия путем аудита.

В 2001 году Комитет спонсорских организаций Комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission- «COSO») совместно с компанией «PriceWaterHouseCoopers» инициировал проект разработки принципов риск-менеджмента (Enterprise Risk Management - Integrated Framework). В соответствии с разработанными принципами, риск-менеджмент - это процесс, охватывающий всю деятельность предприятия, в котором задействованы сотрудники на различных уровнях управления; инструмент, позволяющий достичь поставленных стратегических целей; технология выявления рисков и управления ими; способ застраховать деятельность предприятия от возможных ошибок менеджмента или совета директоров.

Южноафриканский стандарт «KING II» представляет собой сборник типовых решений в практике риск-менеджмента, постоянно пополняется и служит пособием для обучения риск-менеджеров. В данном стандарте не уделяется внимание определенному специфичному бизнесу и корпоративному управлению, но, в то же время, доступно выражаются идеология процесса и желательные стадии. Таким образом, аккуратная адаптация процедур к специфике конкретной компании может привести к желаемому результату.

Надо сказать, что большая часть проанализированных стандартов - «COSO II», «FERMA» - действуют на основе соглашения их участников. Один из немногих законодательно утвержденных стандартов в сфере управления рисками - это «Закон Сарбейнса-Оксли». Но и этот закон не гарантирует успешности действий и процедур.

Однако существующие зарубежные стандарты построения системы риск-менеджмента, как показывает практика, плохо применимы в Российской реальности, либо применимы частично. Поэтому в Российской Федерации на основе зарубежных были разработаны свои стандарты в области риск-менеджмента, на которых остановимся подробнее.

Стандарты серии 51901 «Менеджмент риска» дают общие указания в области применения риск-менеджмента на предприятии, содержат методику использования различных методов по оценке рисков, учитывая специфику применения того или иного метода при оценке отдельных хозяйственных рисков. Так, ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем» устанавливает руководящие указания по выбору и реализации методов анализа риска, главным образом, для оценки рисков технологических систем; ГОСТ Р 51901.2-2005 «Менеджмент риска. Системы менеджмента надежности» описывает концепции и принципы системы менеджмента надежности, определяет основные процессы этой системы (процессы планирования, разделения ресурсов, управления и адаптации) и задачи надежности на стадиях жизненного цикла продукции, относящиеся к планированию, проектированию, измерению, анализу и совершенствованию; ГОСТ Р 51901.3-2007 «Менеджмент риска. Руководство по менеджменту надежности» устанавливает руководство по менеджменту надежности при проектировании, разработке, оценке продукции и улучшении процессов; ГОСТ Р 51901.4-2005 «Менеджмент риска. Руководство по применению при проектировании» устанавливает общие положения менеджмента риска при проектировании, его подпроцессы и воздействующие факторы; ГОСТ Р 51901.5-2005 «Менеджмент риска. Руководство по применению методов анализа надежности» содержит краткий обзор часто используемых методов анализа надежности, описания основных методов и указаны их преимущества и недостатки, входные данные и другие условия использования; ГОСТ Р 51901.6-2005 «Менеджмент риска. Программа повышения надежности» устанавливает требования и дает рекомендации для устранения слабых мест из аппаратных объектов и программного обеспечения с целью повышения надежности; ГОСТ Р 51901.10-2009 «Менеджмент риска. Процедуры управления пожарным риском на предприятии» содержит основные положения менеджмента пожарного риска и устанавливает основные принципы анализа и интерпретации пожарного риска; ГОСТ Р 51901.11-2005 «Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство» обеспечивает руководство по исследованию опасности и работоспособности систем, использующее набор управляющих слов, определенный в настоящем стандарте, а также дает руководство по применению метода и процедур исследования HAZOP, включая определение, подготовку, проведение экспертизы и оформление заключительной документации; ГОСТ Р 51901.12-2007 «Менеджмент риска. Метод анализа видов и последствий отказов» устанавливает методы анализа видов и последствий отказов видов, последствий и критичности отказов и дает рекомендации по их применению; ГОСТ Р 51901.13-2005 «Менеджмент риска. Анализ дерева неисправностей» устанавливает метод анализа дерева неисправностей и содержит руководство по его применению; ГОСТ Р 51901.14-2007 «Менеджмент риска. Структурная схема надежности и булевы методы» описывает методы построения модели надежности системы и использования этой модели для вычисления показателей ее безотказности и готовности; ГОСТ Р 51901.15-2005 «Менеджмент риска. Применение марковских методов» устанавливает руководство по применению марковских методов анализа надежности; ГОСТ Р 51901.16-2005 «Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки» описывает модели и количественные методы оценки повышения надежности, основанные на данных об отказах системы, полученных в соответствии с программой повышения надежности. Эти процедуры позволяют определять точечные оценки, доверительные интервалы и проверять гипотезы для характеристик повышения надежности системы.

Таким образом, в стандартах серии 51901 «Менеджмент риска» подробно описывается использование различных методов и подходов к оценке и анализу рисков, направленное именно на практическое их внедрение и использование на предприятии. Для наглядности во многих стандартах рассматриваются практические примеры.

Стандарты в области риск-менеджмента серии МЭК, ИСО основаны на переводе международных стандартов, разработанных Международной Электротехнической комиссией, Международной организацией по стандартизации ISO. Основные объекты стандартизации ИСО представлены отраслями: машиностроение, химия, руды и металлы, информационная техника, строительство, медицина и здравоохранение, окружающая среда, системы обеспечения качества. Стандарты МЭК более конкретны, чем стандарты ИСО, и более пригодны для прямого применения. Большое значение МЭК придает разработке стандартов на безопасность – главной целью стандартизации в области безопасности является поиск защиты от различных видов опасности.

В сферу деятельности МЭК входят: травматическая опасность, опасность поражения током, взрывоопасность, опасность излучений оборудования, в т.ч. и от ионизирующих излучений, биологическая опасность и др. Так, например, ГОСТ Р МЭК 62305-1-2010 «Менеджмент риска. Защита от молнии. Часть 1. Общие принципы» устанавливает общие принципы защиты от молнии зданий, сооружений и их частей, включая находящихся в них людей, инженерных сетей, относящихся к зданию (сооружению) и другие объекты; ГОСТ Р ИСО 17776-2010 «Менеджмент риска. Руководящие указания по выбору методов и средств идентификации опасностей и оценки риска для установок по добыче нефти и газа из морских месторождений» содержит описание основных методов, рекомендуемых для идентификации опасностей и оценки риска, относящихся к разработке и эксплуатации морских месторождений нефти и газа, включая сейсморазведку, топографические съемки, разведочное и эксплуатационное бурение, разработку месторождений, включая обеспечение ресурсами, а также вывод из эксплуатации и утилизацию соответствующего оборудования; ГОСТ Р ИСО 17666-2006 «Менеджмент риска. Космические системы» устанавливает принципы и требования для интегрированного менеджмента риска для космического проекта, на основе которых проводят внедрение интегрированной политики предприятия в систему менеджмента риска при выполнении проекта каждым участником проекта на всех уровнях (потребитель, поставщик первого уровня, поставщики низшего уровня); ГОСТ Р МЭК 61160-2006 «Менеджмент риска. Формальный анализ проекта» содержит рекомендации по выполнению процедур анализа проекта в качестве средства стимулирования совершенствования продукции и процессов. Стандарт устанавливает руководство по планированию и проведению анализа проекта и дает детальное описание участия в анализе специалистов по надежности, техническому обслуживанию, ремонту и обеспечению работоспособности.

Объединенный программный комитет ИСО/МЭК занимается распределением ответственности двух организаций по вопросам, касающимся смежных областей техники, к разработанным комитетом стандартам относится ISO/IEC 16085:2006 «Системы и разработка программного обеспечения. Процессы жизненного цикла. Управление рисками» и идентичный ему ГОСТ Р ИСО/МЭК 16085-2007 «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения», который устанавливает процесс менеджмента риска при заказе, поставке, разработке, эксплуатации и сопровождении программного обеспечения.

Помимо перечисленных стандартов, связанных с менеджментом хозяйственных рисков, существуют и специализированные, которые регламентируют процесс управления рисками в таких областях деятельности, как медицина, экология, информационные технологии и др.

В настоящее время к профессионалам пришло осознание того, что для создания эффективной системы управления рисками нужно выработать единые основы нормативной базы системы управления рисками организации. Но в связи с тем, что существует множество путей достижения данной цели, объединить все направления в единый документ практически невозможно. Именно поэтому уже существующие стандарты управления рисками не призваны быть нормативными. Однако следуя компонентам рассмотренных стандартов и выбирая при этом различные способы и методы, организации смогут достигать поставленных целей в плане риск-менеджмента.

Литература

1.Потапкина М. Стандарты управления рисками: способы применения в российской реальности [Электронный ресурс]. Режим доступа: www.buk.irk.ru/library/potapkina1.doc.

2. Международные стандарты управления рисками». Учебно-методическое пособие [Электронный ресурс]. Режим доступа: www.minzdravsoc.ru/.../Mezhdunarodnye_standarty_upravleniya_riskami.doc.

3. Международная стандартизация. ИСО. МЭК [Электронный ресурс]. Режим доступа: http://www.asu-tp.org/index.php?option