Каталог статей

Хайруллина А.Д., Гараева К.Р.

Стандартизация системы риск-менеджмента предприятия

В настоящее время в России действует огромное количество государственных стандартов, из которых лишь незначительную долю, менее 1% составляют стандарты, связанные с предпринимательскими рисками, а ведь именно данный вид рисков чрезвычайно важен для любого хозяйствующего субъекта. Мировая практика риск-менеджмента считает стандарт образцом, к которому стоит стремиться. В сфере управления рисками стандартов немного. В то же время корни существующих российских стандартов по управлению рисками, а также огромное число рекомендованных отраслевых практик, идут из-за рубежа, закладывая в основу принципы зарубежной действительности.

Для общего представления о стандартах риск-менеджмента необходимо ознакомиться с некоторыми из них: стандарт «FERMA», некоторые постулаты закона «Сарбейнса-Оксли», стандарт «COSO II» и южно-африканский стандарт – «KING II».

Стандарт по управлению рисками «FERMA» был разработан совместно институтом риск-менеджмента в Великобритании (The Institute of Risk Management), Ассоциацией риск-менеджмента и страхования (The Association of Insurance and Risk Management) и Национальным Форумом риск-менеджмента в Общественном Секторе (The National Forum for Risk Management in the Public Sector) и принят в 2002 году. Схема, заложенная в документе, служит основой для внедрения системы управления рисками.  Эти стандарты управления рисками содержат: определение риска, риск-менеджмента, объяснение внутренних и внешних факторов риска, процессов риск-менеджмента, процедуры оценки рисков, методы и технологии анализа рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера. Согласно данному документу риск рассматривается как комбинация вероятности и его события, а риск-менеджмент - в качестве центральной части стратегического управления организации. К примеру, основными функциями специалиста по рискам, согласно стандарту «FERMA», являются разработка и реализация программы управления рисками, координация взаимодействия различных структурных подразделений организации, разработка программ снижения внеплановых потерь и организация мероприятий по поддержанию непрерывности бизнес процессов. Основная идея данного стандарта заключается в том, что принятие стандарта необходимо для достижения согласия по вопросам используемой терминологии, процесса практического применения риск менеджмента, организационной структуры риск-менеджмента, целей риск-менеджмента. Особенно важно понимание того, что риск-менеджмент - это не просто инструмент для коммерческих и общественных организаций, а руководство для любых действий (причем как в краткосрочном, так и в долгосрочном плане).

Один из немногих законодательно утвержденных стандартов в сфере управления рисками является «Закон Сарбейнса-Оксли» (Sarbanes-Oxley Act). Данный закон рассматривает, прежде всего, вопросы внутреннего контроля и достоверности финансовой отчетности, а также косвенно регулирует процесс управления рисками. В законе нет руководящих указаний по разработке конкретных процедур финансового контроля. Стандарт предлагает анализ поступающих данных о ходе процессов и проверку соответствия путем аудита.

В 2001 году Комитет спонсорских организаций Комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission- «COSO») совместно с компанией «PriceWaterHouseCoopers» инициировал проект разработки принципов риск-менеджмента (Enterprise Risk Management - Integrated Framework). В соответствии с разработанными принципами, риск-менеджмент -  это процесс, охватывающий всю деятельность предприятия, в котором задействованы сотрудники на различных уровнях управления; инструмент, позволяющий достичь поставленных стратегических целей; технология выявления рисков и управления ими; способ застраховать деятельность предприятия от возможных ошибок менеджмента или совета директоров.

Южноафриканский стандарт «KING II» представляет собой сборник типовых решений в практике риск-менеджмента, постоянно пополняется и служит пособием для обучения риск-менеджеров. В данном стандарте не уделяется внимание определенному специфичному бизнесу и корпоративному управлению, но, в то же время, доступно выражаются идеология процесса и желательные стадии. Таким образом, аккуратная адаптация процедур к специфике конкретной компании может привести к желаемому результату.

Надо сказать, что большая часть проанализированных стандартов - «COSO II», «FERMA» - действуют на основе соглашения их участников. Один из немногих законодательно утвержденных стандартов в сфере управления рисками - это «Закон Сарбейнса-Оксли». Но и этот закон не гарантирует успешности действий и процедур.

Однако существующие зарубежные стандарты построения системы риск-менеджмента, как показывает практика, плохо применимы в Российской реальности, либо применимы частично. Поэтому в Российской Федерации на основе зарубежных были разработаны свои стандарты в области риск-менеджмента, на которых остановимся подробнее.

Стандарты серии 51901 «Менеджмент риска» дают общие указания в области применения риск-менеджмента на предприятии, содержат методику использования различных методов по оценке рисков, учитывая специфику применения того или иного метода при оценке отдельных хозяйственных рисков. Так, ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем» устанавливает руководящие указания по выбору и реализации методов анализа риска, главным образом, для оценки рисков технологических систем; ГОСТ Р 51901.2-2005 «Менеджмент риска. Системы менеджмента надежности» описывает концепции и принципы системы менеджмента надежности, определяет основные процессы этой системы (процессы планирования, разделения ресурсов, управления и адаптации) и задачи надежности на стадиях жизненного цикла продукции, относящиеся к планированию, проектированию, измерению, анализу и совершенствованию; ГОСТ Р 51901.3-2007 «Менеджмент риска. Руководство по менеджменту надежности» устанавливает руководство по менеджменту надежности при проектировании, разработке, оценке продукции и улучшении процессов; ГОСТ Р 51901.4-2005 «Менеджмент риска. Руководство по применению при проектировании» устанавливает общие положения менеджмента риска при проектировании, его подпроцессы и воздействующие факторы; ГОСТ Р 51901.5-2005 «Менеджмент риска. Руководство по применению методов анализа надежности» содержит краткий обзор часто используемых методов анализа надежности, описания основных методов и указаны их преимущества и недостатки, входные данные и другие условия использования; ГОСТ Р 51901.6-2005 «Менеджмент риска. Программа повышения надежности» устанавливает требования и дает рекомендации для устранения слабых мест из аппаратных объектов и программного обеспечения с целью повышения надежности; ГОСТ Р 51901.10-2009 «Менеджмент риска. Процедуры управления пожарным риском на предприятии» содержит основные положения менеджмента пожарного риска и устанавливает основные принципы анализа и интерпретации пожарного риска; ГОСТ Р 51901.11-2005 «Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство» обеспечивает руководство по исследованию опасности и работоспособности систем, использующее набор управляющих слов, определенный в настоящем стандарте, а также дает руководство по применению метода и процедур исследования HAZOP, включая определение, подготовку, проведение экспертизы и оформление заключительной документации; ГОСТ Р 51901.12-2007 «Менеджмент риска. Метод анализа видов и последствий отказов» устанавливает методы анализа видов и последствий отказов видов, последствий и критичности отказов и дает рекомендации по их применению; ГОСТ Р 51901.13-2005 «Менеджмент риска. Анализ дерева неисправностей» устанавливает метод анализа дерева неисправностей и содержит руководство по его применению; ГОСТ Р 51901.14-2007 «Менеджмент риска. Структурная схема надежности и булевы методы» описывает методы построения модели надежности системы и использования этой модели для вычисления показателей ее безотказности и готовности; ГОСТ Р 51901.15-2005 «Менеджмент риска. Применение марковских методов» устанавливает руководство по применению марковских методов анализа надежности; ГОСТ Р 51901.16-2005 «Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки» описывает модели и количественные методы оценки повышения надежности, основанные на данных об отказах системы, полученных в соответствии с программой повышения надежности. Эти процедуры позволяют определять точечные оценки, доверительные интервалы и проверять гипотезы для характеристик повышения надежности системы.

Таким образом, в стандартах серии 51901 «Менеджмент риска» подробно описывается использование различных методов и подходов к оценке и анализу рисков, направленное именно на практическое их внедрение и использование на предприятии. Для наглядности во многих стандартах рассматриваются практические примеры.

Стандарты в области риск-менеджмента серии МЭК, ИСО основаны на переводе международных стандартов, разработанных  Международной Электротехнической комиссией, Международной организацией по стандартизации ISO. Основные объекты стандартизации ИСО представлены отраслями: машиностроение, химия, руды и металлы, информационная техника, строительство, медицина и здравоохранение, окружающая среда, системы обеспечения качества. Стандарты МЭК более конкретны, чем стандарты ИСО, и более пригодны для прямого применения. Большое значение МЭК придает разработке стандартов на безопасность – главной целью стандартизации в области безопасности является поиск защиты от различных видов опасности.

В сферу деятельности МЭК входят: травматическая опасность, опасность поражения током, взрывоопасность, опасность излучений оборудования, в т.ч. и от ионизирующих излучений, биологическая опасность и др. Так, например, ГОСТ Р МЭК 62305-1-2010 «Менеджмент риска. Защита от молнии. Часть 1. Общие принципы» устанавливает общие принципы защиты от молнии зданий, сооружений и их частей, включая находящихся в них людей, инженерных сетей, относящихся к зданию (сооружению) и другие объекты; ГОСТ Р ИСО 17776-2010 «Менеджмент риска. Руководящие указания по выбору методов и средств идентификации опасностей и оценки риска для установок по добыче нефти и газа из морских месторождений» содержит описание основных методов, рекомендуемых для идентификации опасностей и оценки риска, относящихся к разработке и эксплуатации морских месторождений нефти и газа, включая сейсморазведку, топографические съемки, разведочное и эксплуатационное бурение, разработку месторождений, включая обеспечение ресурсами, а также вывод из эксплуатации и утилизацию соответствующего оборудования; ГОСТ Р ИСО 17666-2006 «Менеджмент риска. Космические системы» устанавливает принципы и требования для интегрированного менеджмента риска для космического проекта, на основе которых проводят внедрение интегрированной политики предприятия в систему менеджмента риска при выполнении проекта каждым участником проекта на всех уровнях (потребитель, поставщик первого уровня, поставщики низшего уровня); ГОСТ Р МЭК 61160-2006 «Менеджмент риска. Формальный анализ проекта» содержит рекомендации по выполнению процедур анализа проекта в качестве средства стимулирования совершенствования продукции и процессов. Стандарт устанавливает руководство по планированию и проведению анализа проекта и дает детальное описание участия в анализе специалистов по надежности, техническому обслуживанию, ремонту и обеспечению работоспособности.

Объединенный программный комитет ИСО/МЭК занимается распределением ответственности двух организаций по вопросам, касающимся смежных областей техники, к разработанным комитетом стандартам относится ISO/IEC 16085:2006 «Системы и разработка программного обеспечения. Процессы жизненного цикла. Управление рисками» и идентичный ему ГОСТ Р ИСО/МЭК 16085-2007 «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения», который устанавливает процесс менеджмента риска при заказе, поставке, разработке, эксплуатации и сопровождении программного обеспечения.

Помимо перечисленных стандартов, связанных с менеджментом хозяйственных рисков, существуют и специализированные, которые регламентируют процесс управления рисками в таких областях деятельности, как медицина, экология, информационные технологии и др.

В настоящее время к профессионалам пришло осознание того, что для создания эффективной системы управления рисками нужно выработать единые основы нормативной базы системы управления рисками организации. Но в связи с тем, что существует множество путей достижения данной цели, объединить все направления в единый документ практически невозможно. Именно поэтому уже существующие стандарты управления рисками не призваны быть нормативными. Однако следуя компонентам рассмотренных стандартов и выбирая при этом различные способы и методы, организации смогут достигать поставленных целей в плане риск-менеджмента.

Литература

1. Потапкина М. Стандарты управления рисками: способы применения в российской реальности [Электронный ресурс]. Режим доступа: www.buk.irk.ru/library/potapkina1.doc.

2. Международные стандарты управления рисками». Учебно-методическое пособие [Электронный ресурс]. Режим доступа: www.minzdravsoc.ru/.../Mezhdunarodnye_standarty_upravleniya_riskami.doc.

3. Международная стандартизация. ИСО. МЭК [Электронный ресурс].  Режим доступа: [сылка более недоступна}