6.2. Менеджмент риска и система управления организацией

Менеджмент риска охватывает все виды деятельности организации и служит основой для контроля среды, в которой организация функционирует. Поэтому для обеспечения эффективного управления рисками внедрение менеджмента риска в общую систему менеджмента организации требует тщательного планирования [18].

Менеджмент риска – это не только стратегия выявления и обработки рисков, препятствующих достижению целей организации. Он призван обеспечить организации гибкость и возможность приспосабливаться к изменениям внешних условий существования предприятия.

Одной из основных опасностей создания на предприятии системы менеджмента риска является возможность превращения ее из эффективного механизма учета опасностей в бюрократическую систему выдачи формальных разрешений и инструкций. Современные методы и модели управления рекомендуют использовать при функционировании системы менеджмента риска элементы «мягкого контроля» внешней среды организации: лидерство, работу в команде, корпоративную культуру, ценности, коммуникации и т.д.

Эффективный процесс управления рисками помогает выполнять не только ежедневные мероприятия, но и принимать стратегические решения по вопросам развития организации. Особенно важно документирование принятия решения в области менеджмента риска – документация позволяет создать прослеживаемость принятых решений [18].

6.3. Процесс менеджмента риска

Основными элементами процесса менеджмента риска являются: поддержание связей и консультаций, установление контекста, идентификация рисков, анализ и оценка рисков, обработка рисков, мониторинг и обзор (рис. 6.1).

Рис. 6.1. Схема процессов менеджмента риска

Поддержание связей и консультаций. Для создания эффективной системы менеджмента риска (СМР) необходимо, с одной стороны, обучение, а с другой – постоянная связь с заинтересованными сторонами (например, потребителями и обществом). Поэтому крайне важно создавать систему связей и консультаций с внутренними и внешними заинтересованными сторонами.

В международном стандарте СТ ИСО 31000 отмечается, что «важно разработать план поддержания связей в отношении внутренних и внешних заинтересованных сторон на самой ранней стадии процесса, чтобы гарантировать, что лица, ответственные за осуществление менеджмента риска, и заинтересованные стороны понимают уровень риска, основания, на которых принимаются решения, и специфику контроля».

Заинтересованные стороны имеют представление о рисках, основанные на личном опыте и ценностях, поэтому мнения различных сторон могут различаться. Чтобы идентифицировать восприятие риска всеми заинтересованными сторонами, мнения сторон должны быть занесены в документы (записи).

Установление контекста. Согласно стандарту СТ ИСО 31000, установленные контексты определяют основные параметры, в рамках которых должно происходить управление рисками и которые устанавливают возможности для остальной части процесса менеджмента риска. Контекст включает внешнюю и внутреннюю среду организации и цель деятельности по управлению риском (контекст – это исходное состояние процесса). Данный элемент процесса менеджмента риска состоит из четырёх этапов:

Этап 1. Установление внешнего контекста.

На этом этапе определяется состояние внешней среды, в которой организация функционирует. Внешний контекст состоит из следующих элементов:

1. Описание сторон, заинтересованных в деятельности организации, их взглядов и целей.

2. Описание возможных внешних угроз (рисков).

3. Социальные, культурные, финансовые, политические и иные особенности внешней среды.

4. Описание сильных и слабых сторон организации, оценку ее конкурентоспособности.

5. Ключевые тенденции на рынках.

Этап 2. Установление внутреннего контекста.

На этом этапе происходит анализ внутренней среды организации, который включает в себя изучение [1]:

– внутренних заинтересованных сторон;

– внутренней организационной структуры;

– внутренних возможностей человеческих ресурсов, систем, процессов, капитала;

– целей и стратегий.

Установление внутреннего контекста требуется для сосредоточения усилий организации на своих сильных и слабых сторонах, а также для управления рисками при повседневных действиях.

Этап 3. Установление контекста менеджмента риска.

Область управления риском зависит от потребностей организации. Например, действия по управлению риском могут затронуть как всю организацию, так и её часть или отдельные производственные процессы.

Этап 4. Разработка критериев и определение структуры.

Необходимо определить критерии, относительно которых риск подлежит оцениванию на базе контекста. Данные критерии могут быть эксплуатационного, технического, финансового, юридического, социального, экологического, гуманитарного и иного характера. Критерии риска служат для принятия решений о необходимости учета риска и разработки предупреждающих действий по снижению опасности его последствий.

К важным критериям риска относятся [1]:

1) последствия, подлежащие учету и методы измерения их показателей;

2) методы оценки вероятности возникновения опасности или угрозы;

3) методы определения уровня опасности;

4) методы определения предельного уровня риска, при котором он может потребовать обработки.

На данном этапе следует также определить структуру процесса управления рисками. Этот шаг включает обзор предложенной структуры процесса управления рисками и его содержания для конкретных подразделений организации.

Вся процедура установления контекста является основой для разработки политики управления риском – основополагающего документа системы менеджмента риска.

Идентификация рисков. Важность этого элемента СМР объясняется тем, что один пропущенный риск может быть исключен из последующего анализа и организация может оказаться неготовой к предупреждению его последствий.

Идентификация рисков включает установление источника риска, вероятных событий и возможных последствий. При проведении идентификации нужно получить ответы на вопросы: что может случиться, где, как и почему. Цель идентификации рисков состоит в том, чтобы выявить исчерпывающий список источников рисков и событий, которые могут привести к возникновению опасности или угрозы.

Идентифицировав риски, необходимо рассмотреть возможные сценарии последствий. Чтобы никакие важные причины не были упущены, рекомендуется разрабатывать сценарии развития рисков группами, применяя коллективные методы анализа, например, «мозговой штурм» или метод FMEA.

Анализ рисков. В стандарте СТ ИСО 31000 указывается, что «результатом процесса управления рисками должно явиться детальное понимание уровня риска и его характера для последующей обработки». Риск анализируется путем разработки комбинаций событий и оценки вероятности их наступления, с учетом существующих методов контроля элементов внутренней и внешней среды организации. В ходе анализа рисков сходные риски объединяются, а незначительные – исключаются из рассмотрения. Таким образом, в результате анализа рисков происходит их упорядочивание по степени важности и оригинальности.

Источниками информации для анализа рисков могут быть: записи, практика и опыт работы; литература; маркетинговые исследования; результаты консультаций; результаты испытаний опытных образцов изделий; экономические, проектные и другие модели; мнения экспертов[1]. Методы анализа рисков могут быть разными, например: интервью с экспертами, анкетирование, моделирование событий, испытания реальных образцов, их макетов или моделей.

В зависимости от потребностей организации, анализ рисков может быть качественным, количественным или комбинированным.

Оценка рисков. Согласно стандарту СТ ИСО 31000, оценка рисков состоит в сравнении уровня риска, определенного в процессе анализа, с критериями, установленными при рассмотрении контекста. По результатам оценки рисков принимаются решения об обработке рисков, определении приоритетов. В некоторых случаях результатом оценки рисков может стать решение о дальнейшем анализе или об отказе в обработке риска (если существующие методы контроля полностью исключают его появление, например – сплошной контроль готовой продукции полностью исключает наличие в партии бракованных изделий).

Обработка рисков. Обработка рисков включает идентификацию диапазона вариантов для обработки рисков, оценку этих вариантов, подготовку и выполнение планов обработки. Выбор предпочтительного варианта обработки рисков происходит с учётом соотношения затрат и выгод для каждого из предложенных вариантов; возможно выбрать не один, а комбинацию нескольких вариантов обработки рисков. После выбора варианта составляется план обработки рисков.

План обработки рисков – это документ системы менеджмента риска, который служит для документирования процесса выполнения действий с рисками. План обработки рисков включает в себя:

1) предполагаемые действия и требования к ресурсам;

2) обязанности и полномочия ответственных;

3) выбор времени выполнения обработки рисков;

4) эффективность мероприятий;

5) требования отчётности и мониторинга.

Остаточный риск – это риск, который остается после осуществления плана обработки рисков, или риск, который не был идентифицирован (распознан). Остаточный риск должен быть документирован, подвергнут мониторингу и анализу, а информация о нем распространена между заинтересованными сторонами (сотрудники, потребители, общество и т.д.)

Мониторинг и обзор. В соответствии со стандартом СТ ИСО 31000 выполнение регулярного обзора требуется для того, чтобы гарантировать адекватность плана обработки рисков. Необходимость обзора СМР связана с возможностью изменения во времени условий возникновения рисков, вероятности и последствий их возникновения или стоимости обработки.

Каждый элемент процесса менеджмента риска должен быть документирован. Кроме того, документированию подлежат выдвинутые предположения, применяемые методы, источники данных, результаты и причины принятых решений. Виды и объем создаваемых записей определяются потребностью в них, стоимостью создания и поддержания в рабочем состоянии, выгодой от многократного использования информации.