Учебники / Акуленок М.В. Основы менеджмента риска
.pdf
Министерство образования и науки Российской Федерации Национальный исследовательский университет «МИЭТ»
М.В. Акуленок
Основы менеджмента риска
Учебно-методическое пособие для самостоятельной работы студентов
Утверждено редакционно-издательским советом университета
Москва 2017
УДК 658.562:330.131.7 (075.8)
А44
Рецензенты: докт. техн. наук Б.Н. Левонович; канд. техн. наук К.А. Тузовский
Акуленок М.В.
А44 Основы менеджмента риска: учебно-методическое пособие для самостоятельной работы студентов. - М.: МИЭТ, 2017. - 52 с.: ил.
ISBN 978-5-7256-0810-6
Посвящено практическим аспектам управления рисками, в том числе применению метода структурированного интервью, методов поиска корневых причин, построению матрицы рисков и диаграмм «гал- стук-бабочка», а также основам анализа видов, последствий и критичности отказов. Представлены как необходимые теоретические сведения, так и примеры выполнения заданий, формы документов.
Для студентов, обучающихся по программам подготовки бакалавров «Управление качеством в производственно-технологических системах», «Информационное обеспечение систем менеджмента качества».
ISBN 978-5-7256-0810-6 |
МИЭТ, 2017 |
2
Предисловие
В условиях роста конкуренции и непредсказуемости внешней среды продвижение предприятия к устойчивому успеху требует гибкой и адекватной реакции на происходящие изменения, и, наряду с улучшением продукции, совершенствования технологий проектирования и управленческих технологий и инструментов для снижения роли субъективных факторов в процессах принятия решения.
Динамично изменяющаяся внешняя среда с постоянными источниками новых возможностей и угроз, высокая степень неопределенности и субъективности оценок состояния организации, ее окружения и вероятности достижения поставленных целей - все это факторы, определяющие необходимость управления рисками.
Включение процесса менеджмента рисков в структуру процессов системы менеджмента качества (СМК) в соответствии с требованиями новой редакции стандарта ГОСТ Р ИСО 9001-2015 - ответ на необходимость обеспечить реакцию на вызовы внешней среды, в которой работают организации. Данное требование отражает также продолжающийся процесс гармонизации и интеграции стандартов Международной организации по стандартизации (ИСО) разных серий, в частности серий ИСО 9000, 14000, 31000 и др.
Полноценное внедрение менеджмента рисков в систему управления организаций позволит:
создать надежный базис для принятия решений и планирования;
повысить возможности организации в достижении поставленных целей;
совершенствовать управление организацией в целом, процессами, проектами;
осознать необходимость идентификации рисков и воздействия на них во всех процессах организации;
обеспечить соответствие деятельности организации законодательным и другим обязательным требованиям и нормам;
оптимизировать документооборот;
укрепить доверие заинтересованных сторон;
эффективно распределять и использовать ресурсы для воздействия на риск;
3
повысить функциональную эффективность и результативность работы организации;
повысить уровень обеспечения безопасности, здоровья, а также защиты окружающей среды;
совершенствовать менеджмент инцидентов;
свести к минимуму потери;
повысить устойчивость организации.
Курс «Основы менеджмента риска» направлен на обеспечение готовности выпускников образовательной программы, освоивших данный курс, разработать и внедрить на предприятии процесс управления рисками с целью совершенствования процессов жизненного цикла продукции (ЖЦП) и СМК, и, как следствие, повышения конкурентоспособности отечественных инновационных производств.
Основным компонентом самостоятельной работы студентов в данном курсе является курсовое проектирование, цель которого - моделирование профессиональной деятельности в части управления рисками отдельного процесса.
Настоящее учебно-методическое пособие включает две главы и восемь приложений. В главе 1 рассмотрены основные понятия рискменеджмента. В главе 2 приведен обзор базовых методов оценки риска, структурированный по этапам процесса управления рисками. В Приложениях представлены типовое задание (Приложение 1) и формы документов (Приложения 2 - 8), необходимых для выполнения задания по курсовому проектированию. Примеры выполнения задания приведены в главе 2.
Автор выражает благодарность М.Р. Тихонову за техническую помощь в подготовке данного пособия.
4
Глава 1. Основы управления рисками
1.1.Основные термины и определения
Кчислу основных нормативных документов в области управления рисками относятся:
ГОСТ Р ИСО 9000-2015. Системы менеджмента качества. Основные положения и словарь.
ГОСТ Р ИСО 9001-2015. Системы менеджмента качества. Требования.
ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство.
ГОСТ Р ИСО 31010-2010. Менеджмент риска. Методы оценки риска.
ГОСТ Р 51897-2011. Руководство ИСО 73:2009. Менеджмент риска. Термины и определения.
ГОСТ Р 51901.12-2007. Менеджмент риска. Метод анализа видов и последствий отказов (МЭК 61812-2006).
Прежде всего следует обратить внимание на различия в определениях (и переводе) ряда терминов, относящихся к управлению рисками. Пример - определение термина «риск», вводимого разными нормативными документами.
Так, в соответствии с ГОСТ Р ИСО 9000-2015 «Риск - влияние неопределенности». ГОСТ Р ИСО 31000-2010 расширяет это определение: «Риск - влияние неопределенности на цели». Еще более развернутый вариант определения приведен в стандарте ГОСТ Р ИСО 518972011: «Риск - следствие влияния неопределенности на достижение поставленных целей».
Все перечисленные стандарты рассматривают риск как позитивный (имеющиеся возможности), так и негативный (возможные угрозы).
Заметим, что приведенные определения принципиально отличаются от определения, данного в Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом регулировании»: «Риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окру-
5
жающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда».
Вданном пособии будет применяться следующее операциональное определение: «Риск - следствие влияния неопределенности на достижение поставленных целей». Под словосочетанием «следствие влияния неопределенности» необходимо понимать отклонение от ожидаемого результата или события, как позитивное, так и негативное. Термин «неопределенность» означает состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий. При этом цели могут быть различными как по содержанию (цели в области экономики, здоровья, экологии и т.п.), так и по назначению или уровню (стратегические или тактические, общеорганизационные или относящиеся к разработке проекта, конкретной продукции и процессу).
Для описания риска используют прежде всего такие характеристики как его последствия (и их сочетания), а также оценки вероятностей возникновения.
Необходимо учитывать, что на предприятии может быть введено свое операциональное определение. Например: «Риск - нежелательная ситуация (обстоятельство), характеризующаяся вероятностью возникновения и потенциально негативными последствиями, обусловленная внутренними факторами, возникающими в ходе основной деятельности организации, которыми организация может управлять».
Важным элементом в концепции мышления, основанного на рисках, является понятие организационной среды (организационной ситуации или контекста организации), также включенное в новую редакцию стандартов серии ИСО 9000. Согласно указанным документам «описание среды организации (установление контекста) - определение внешних и внутренних параметров, принимаемых во внимание при управлении риском, и установление области применения и критериев риска для политики менеджмента рисков». При этом следует учитывать как внешнюю среду организации, так и внутреннюю, «в которых организации стремятся к достижению своих целей».
Всоответствии с ГОСТ Р ИСО 9000-2015: «Среда организации - сочетание внутренних и внешних факторов, которое может оказывать влияние на подход организации к постановке и достижению ее целей».
Внешняя организационная ситуация (внешний контекст, внешняя среда, внешняя область применения) - это внешние условия, в которых
6
организация работает и достигает своих целей. Данные условия (факторы) могут включать:
внешнюю среду, связанную с культурной, социальной, политической, законодательной, регулирующей, экономической, природной или конкурентной сферой, как на международном, так и на национальном, региональном или местном уровне;
ключевые критерии и тенденции, которые могут воздействовать на достижение установленных целей организации;
взаимоотношения с внешними заинтересованными сторонами, восприятие ими риска и значимость для организации этих заинтересованных сторон, где заинтересованная сторона (стейкхолдер) - лицо или организация, которые могут воздействовать на осуществление деятельности или принятие решения, быть подверженными их воздействию или воспринимать себя в качестве таковых.
Внутренняя организационная ситуация (внутренний контекст, внутренняя среда, внутренняя область применения) - это внутренние условия, в которых организация работает и достигает своих целей. Данные условия (факторы) включают:
управление, организационную структуру, обязанности и подотчетность;
политику, цели и задачи, а также стратегию их достижения;
возможности организации с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);
информационные системы, информационные потоки и процессы принятия решений (формальные и неформальные);
взаимоотношения с внутренними заинтересованными сторонами, восприятие ими риска и значимость для организации этих заинтересованных сторон;
культуру организации;
стандарты, руководящие принципы и модели работы, принятые
ворганизации;
формы и объем договорных отношений.
В соответствии с перечисленными стандартами менеджмент риска - это скоординированные действия по руководству и управлению организацией в области риска.
Под структурой менеджмента риска понимают взаимосвязанные элементы, которые обеспечивают реализацию принципов (политики, целей, полномочий, обязательств) и организационные меры (планы, взаимоотношения, подотчетность, ресурсы, процессы и действия), применяемые при проектировании, разработке, внедрении, мониторинге, анализе и постоянном улучшении менеджмента риска организации.
7
1.2. Процесс менеджмента риска
Процесс менеджмента риска (risk management process) в соответ-
ствии с ГОСТ Р ИСО 31000-2010 означает систематическое применение политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, установлению ситуации (контекста) и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска.
Систематизированный и структурированный процесс управления рисками включает (рис.1.1) такие основные этапы, как:
установление организационной ситуации с учетом всех действующих факторов и заинтересованных сторон;
оценку рисков, в том числе идентификацию рисков (включая выявление и описание рисков), количественную оценку и ранжирование рисков;
разработку мер воздействия на риски и их реализацию, а также постоянный мониторинг в процессе осуществления разработанных мер
сцелью анализа происходящих изменений, вновь возникающих рисков, оценки результативности воздействия на риски и постоянное информирование (консультирование) всех заинтересованных сторон.
Рис.1.1. Модель процесса менеджмента рисков в соответствии с ГОСТ Р ИСО 31000-2010
8
Установление организационной ситуации (контекста) (establishing the context) предполагает определение внешних и внутренних факторов, принимаемых во внимание при управлении риском, и установление области применения и критериев приемлемости риска.
До начала этапа оценки риска, включая идентификацию риска, анализ риска и количественное оценивание риска, необходимо установить критерии, или факторы, по которым будет оцениваться значимость риска.
Идентификация риска предполагает выявление, распознавание и описание элементов риска, включая источники риска, события, причины их возникновения и возможные последствия. Идентификация может быть проведена на основе теоретического анализа, анализа хронологических данных, экспертных оценок и потребностей заинтересованных сторон.
Главной задачей этапа идентификации риска является формирование всеобъемлющего списка возможных рисков, всех возможных событий, которые могли бы создать, усилить, повлиять, ухудшить, ускорить или задержать достижение целей. В данный список включают риски вне зависимости от того, управляемые они или нет. Важно помнить, что упущенные на этапе идентификации риски на последующих этапах не будут оценены. Наиболее сложными для идент и- фикации являются упущенные возможности.
В качестве источников риска могут служить объекты (материальные или нематериальные), а также деятельность, которые самостоятельно или в комбинации с другими объектами обладают возможностью вызывать повышение риска. Примеры таких источников, соответствующих сферам внутреннего и внешнего контекста, приведены на рис.1.2.
Анализ риска включает изучение природы и характера риска и определение уровня риска (ранжирование). Как правило, анализ риска включает установление причинно-следственных связей рассматриваемого риска (например, опасного события) с его источниками и последствиями. Анализ риска предполагает количественную оценку и обеспечивает базу для проведения сравнительной оценки риска и принятия решения о мерах в отношении риска.
9
Рис.1.2. Примеры источников риска в соответствии с ГОСТ Р 51897-2009
Обработка (или модификация) риска означает меры, принимаемые
вотношении риска (рис.1.3), например:
исключение риска путем принятия решения не начинать или не продолжать деятельность, в результате которой может возникнуть опасное событие;
принятие или повышение риска для обеспечения более широких возможностей;
устранение источников риска;
изменение вероятности наступления опасного события;
изменение последствий опасного события;
разделение риска с другой стороной или сторонами;
обоснованное решение о сохранении риска.
Меры, принимаемые организацией в отношении негативных рисков (или угроз), включают устранение, предотвращение или снижение риска. При этом могут возникнуть новые риски и измениться существующие риски, а принимаемые меры не всегда приводят к ожидаемым результатам.
10