Проект отечественного стандарта управления рисками

Отечественное семейство национальных стандартов риск-менеджмента не является оригинальной. Так, например, стандарт ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство» – это локализованная версия международного стандарта ISO 31000:2009 «Risk management – Principles and guidelines», ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» является локализованной версией стандарта IEC 31010:2009 «Risk management − Risk assessment techniques» и др.


Подобная ориентация на Международную организацию по стандартизации (International Organization for Standardization, ISO) создает ряд проблем, которые препятствуют активному развитию риск-менеджмента в Российской Федерации. В частности:

  • Утрата актуальности знаний, закрепленных в ГОСТ Р ИСО 31000. Так, например, в 2019 году вышел в свет обновленный стандарт IEC 31010:2019 «Risk management – Risk assessment techniques», формализующий новый, более эффективный и результативный инструментарий оценки рисков. 2018 год – ISO был опубликован новый стандарт менеджмента риска ISO 31000:2018 "Risk management – Guidelines", пересматривающий основные положения управления рисками. 2017 год – Project Management Institute опубликовал обновленный свод лучших управленческих практик в области управления проектами, где представил усовершенствованный инструментарий риск-менеджмента. В этом же году COSO ERM и PRINCE2® презентовали новые своды знаний. Подобное систематическое обновление может быть объяснено быстрым накоплением базы знаний международным сообществом в сфере риск-менеджмента, что позволяет им разрабатывать все более и более совершенные алгоритмы управления рисковыми событиями.

  • Отсутствие инструментария управления позитивными рисками. Классический риск-менеджмент, как правило, трактует «риск» как некую вероятную угрозу, материализация которой способна принести материальный ущерб. Однако, как показывают результаты исследования, природа рискового события дуальна, т. к. на процесс достижения цели могут оказать влияние как негативные вероятные события, так и позитивные. Отрицательная коннотация «риска» во многом определила предлагаемый к использованию классический инструментарий риск-менеджмента, который в основном направлен на нивелирование, ослабление, страхование, эскалацию и диверсификацию негативных рисков. Однако, как было показано в работе «Лидерство как позитивный риск, наступление которого необходимо для успешного завершения ИТ-проекта», материализация позитивных рисков в проекте может значительно повысить шансы на успешное достижение проектных целей. Следовательно, современный инструментарий риск-менеджмента должен не только эффективно и результативно управлять негативными рисковыми событиями, но и позитивными.

  • Отсутствие систематического процесса по выявлению лучших практик в области управления рисками. Длительное и систематическое использование риск-менеджмента позволяет выявлять индивидуальные и групповые лучшие практики в области управления рисками, которые, пройдя процесс адаптации к внешним и внутренним условиями, доказали на практике свою эффективность и результативность. Однако, несмотря на универсальность международных стандартов и сводов знаний, следует отметить, что не все процессы риск-менеджмента могут быть применимы ввиду особенностей отечественного управления, которое базируется на национальном гражданском, административном, трудовом, налоговом и других законодательствах.

Таким образом, можно заключить, что семейство национальных стандартов управления рисками требует обновления и дополнения новыми научными знаниями, в связи с чем целью настоящей статьи является формализация положений, которые должны входить в обновленную версию отечественного стандарта управления рисками.


1. Проект отечественного стандарта управления рисками


В ходе проведенного исследования было установлено, что в отечественных организациях часто сознательно отказываются от применения риск-менеджмента либо только частично применяют отдельные его процессы. Среди причин низкой популярности управления рисками менеджмент организаций указывает следующие:

  • Отсутствие финансовой выгоды. По мнению менеджмента организаций, управление рисками только расходует полезные финансовые, временные, кадровые и управленческие ресурсы, в итоге не принося ощутимой бизнес-ценности. Так, например, разработанный план управления рисками быстро теряет свою актуальность, в связи с чем сотрудники вынуждены вновь и вновь обновлять и дорабатывать ранее согласованные и утвержденные позиции. По мнению экспертов в области управления рисками, источником подобных проблем является незрелость механизма управления рисками, которая проявляется в низкой профессиональной подготовке сотрудников, в неправильном построении бизнес-процессов, в отсутствии регламентов и других локальных документов.

  • Страх сломать уже работающую систему. Сознательный отказ от применения концепции управления рисками во много связан с опасением, что новые бизнес-процессы окажут негативное влияние на уже отлаженную и работающую систему.

  • Не соответствует современным вызовам. Классический риск-менеджмент не учитывает динамику быстрого изменения гражданского, административного, трудового, налогового и других законодательств, а также не способен оперативно откликаться на изменения финансового рынка. Согласно данным АО «Интерфакс» с 10.02.2020 г. (1 доллар = 64,13 руб.) по 10.03.2020 г. (1 доллар = 71,40 руб.) доллар по отношению к рублю вырос на 10%.

  • Проблемы необходимо решать по мере их поступления. Менеджмент организации придерживается мнения, что с проблемами проще справляться, если они уже наступили. По мнению автора статьи, данное утверждение является ошибочным. Анализ судебной практики показал, что в 2017 году в Арбитражный суд Томской области обратилось 10 642 организаций, предприятий и учреждений. Согласно статистическому отчету Территориального органа Федеральной службы государственной статистики по Томской области, в 2017 году на территории Томской области было зарегистрировано 31 658 организаций и предприятий, из чего следует, что около 33% организаций в 2017 году столкнулись с такими проблемами, которые не смогли решить самостоятельно.

В этой связи могут быть сформулированы требования, которым должен соответствовать современный стандарт управления рисками. В частности:


1) стандарт должен формализовывать положения, которые будут приносить организациям экономическую выгоду;

2) предлагаемая концепция риск-менеджмента не должна противоречить существующим бизнес-процессами организации;

3) процессы риск-менеджмента должны оперативно реагировать на изменения внешней и внутренних сред организации;

управление рисками должно превентивно выявлять и устранять вероятные проблемы.

Предлагаемый автором статьи проект отечественного стандарта управления рисками был разработан с учетом заявленных требований и построен согласно принципам методологии прикладного системного анализа. Проект отечественного стандарта управления рисками включает в себя три взаимосвязанных компонента: механизм управления рисками, процессы управления рисками, корпоративная культура управления рисками (рисунок 1). Взаимозависимость и взаимосвязь компонентов проявляется в их влиянии друг на друга. Так, если механизм управления рисками будет работать непроизводительно, тогда корпоративная культура управления рисками будет неэффективной, что в свою очередь приведет к уменьшению шансов на успешное достижение стратегических, тактических, операционных, проектных и других целей.


2. Механизм управления рисками


Механизмом управления рисками называют системообразующий компонент риск-менеджмента, который формирует основу для гарантированного достижения целей. Механизм управления рисками создается на уровне менеджмента, т. к. только управляющие органы организации обладают достаточной властью и полномочиями по инициации структурных и инфраструктурных элементов, таких как:

  • Должностные инструкции, стандарты, чек-листы и другие локальные внутренние документы организации. Необходимо отметить, что данные локальные акты должны соответствовать действующему трудовому законодательству, международным, национальным и внутренним стандартам организации, акты должны закреплять права и обязанности сотрудников, ответственных за управление рисками, регламентировать выполнение их профессиональных функций, описывать последствия, которые могут возникнуть по причине ненадлежащего исполнения или отказа от исполнения должностных обязанностей, разъяснять специфику деятельности специалиста по управлению рисками (риск-менеджера) и др.

  • Оборудование и специализированное программное обеспечение. Автоматизация процессов риск-менеджмента решает ряд управленческих и производственных задач, связанных с хранением информации, ее качественной и количественной обработкой, распространением среди заинтересованных сторон и применением. На рынке представлены различные программные продукты по автоматизации бизнес-процессов риск-менеджмента, таких как @RISK, Trakker, Enterprise project, ER project, RiskTrack, Intelligent Planner, Risk Manager, OpenPlan, RiskRadar, Risk Register, RiskGap и др. Подробный обзор характеристик и сравнительный анализ программного обеспечения представлен в статье «Сравнительных анализ ПО для управления рисками в ИТ-проектах».

  • Бюджет на управление рисками необходим для систематического осуществления профилактических мер превентивного воздействия на рисковые события и формирования управленческих, временных, финансовых и кадровых резервов на случай кризисных ситуаций.

  • Лица, ответственные за управление рисками. Согласно требованиям профессионального стандарта 08.018, специалист по управлению рисками должен профессионально проводить анализ и оценку рисков, разрабатывать отдельные функциональные направления управления рисками, строить интегрированные системы управления рисками, осуществлять методическое обеспечение процессов управления рисками, проводить аудит процессов управления рисками и стратегически управлять рисками организации.


3. Процессы управления рисками


Эффективное и результативное управления рисками возможно только при последовательном применении процессов, связанных с оценкой негативных/позитивных рисков, принятием управленческих решений по созданию мер воздействия на рисковые события, мониторингом неидентифицированных рисков и контролем над ранее идентифицированными рисками. В проекте отечественного стандарта управления рисками к данным процессам относятся:

  • Идентификация рисков. Направлен на выявление вероятных событий, которые способны оказать негативное и/или позитивное влияние на стратегические, тактические, операционные, проектные и другие цели.

  • Анализ рисков – процесс, связанный с поиском источников рисковых событий, факторов рисков, прогнозированием возможных последствий в случаях материализации идентифицированных рисков, а также с построением иерархических структур для негативных и позитивных рисков.

  • Оценивание рисков. Классический риск-менеджмент предлагает измерять риск с помощью двух параметров: вероятности наступления рискового события и возможного влияния в результате материализации риска. Однако, как показали результаты исследования, рисковое событие является динамической величиной, которое может изменяться во времени. Таким образом, помимо вероятности и влияния, проект отечественного стандарта управления рисками также должен предусматривать инструментарий по определению времени актуализации (наступления) рисков.

  • Воздействие на риски. Данный процесс включает в себя разработку мер превентивного воздействия на рисковые события и мер достойного принятия рисков в случае их наступления.

  • Контроль над рисками – процесс систематического наблюдения за идентифицированными рисками.

  • Мониторинг рисков – процесс систематического наблюдения с целью выявления ранее неидентифицированных рисков.

  • Оценка эффективности и результативности управления рисками. Процесс направлен на выявление и формализацию лучших индивидуальных и групповых практик управления рисками. Необходимо отметить, что в классическом риск-менеджменте данный процесс отсутствует, хотя попытки по его формализации предпринимались COSO ERM в версии 2017 года, где давалось описание таких действий, как «анализ рисков и эффективности деятельности» и «повышение эффективности системы управления рисками». По мнению автора статьи, оценка эффективности и результативности управления рисками должна быть обязательно включена в проект отечественного стандарта управления рисками, т. к. именно благодаря систематическому измерению могут быть выявлены лучшие практики управления рисками и увеличен общий уровень зрелости управления.

Графическая модель взаимозависимости и взаимосвязи процессов управления рисками представлена на рисунке 2.

Каждый из представленных на рисунке 2 элементов процесса управления рисками включает в себя три стадии: «вход», «применяемый инструментарий» и «выход». Так, на рисунке 3а демонстрируется процесс идентификации рисков, где на «вход» подается информация о ранее неидентифицированных рисках, т. е. рисках, которые не были ранее зафиксированы в реестре рисков. Далее применяется инструментарий по выявлению вероятных негативных/позитивных событий, и полученные результаты формализуются в разделе «идентификация». После идентификации рисков определяются факторы рисков, источники рисков и прогнозируются возможные последствия в случае их материализации (рисунок 3б). Полученная информация используется для уточнения основных параметров риска – вероятности наступления, возможного влияния в случае материализации и времени актуализации (рисунок 3в). Полученная количественная информация о рисках дает возможность провести среди идентифицированных рисковых событий группировку и определить риски, для которых необходимо разработать меры превентивного воздействия и меры по достойному принятию данных рисков (рисунок 3г). Стоит отметить, что контроль над выявленными рисками и систематический мониторинг неидентифицированных рисков необходимо осуществлять с помощью специализированного программного обеспечения (рисунок 3д).

Полученные количественные данные от применения всех процессов управления рисками (идентификация, анализ, оценивание, воздействие, мониторинг и контроль над рисками) должны быть измерены и оценены для того, чтобы выявить лучшие индивидуальные и групповые практики в области риск-менеджмента (рисунок 3е).


3. Корпоративная культура управления рисками


Корпоративная культура управления рисками может формироваться и развиваться только при систематической количественной оценке результатов, получаемых в процессе эксплуатации риск-менеджмента, формализации лучших практик управления, а также за счет плановой подготовки, обучения и аттестации сотрудников, ответственных за менеджмент рисков. Именно высокий уровень зрелости корпоративной культуры в области управления рисками предопределяет и гарантирует успех достижения стратегических, тактических, операционных, проектных и других целей. Это может быть объяснено тем, что с каждой флуктуацией внутренней и внешней сред организациями вырабатываются наиболее эффективные и результативные инструменты управления рисками. В связи с чем, основываясь на выработанных предшественниками нормах, стандартах, журналах ошибок, реестрах извлеченных уроков, сотрудники, отвечающие за управление рисками, могут применять самые лучшие модели поведения как в штатных, так и внештатных ситуациях.

Необходимо отметить, что за формирование и развитие корпоративной культуры ответственен менеджмент организации, т. к. только руководящий орган, имея властные полномочия, может обеспечивать систематический процесс обновления новыми знаниями существующие локальные документы, добиваться соответствиями между требованиями, закрепленными во внутренних стандартах, и фактическим уровнем компетенций сотрудников, а также организовывать производственные конкурсы с целью выявления лучших практик управления в области риск-менеджмента.


Заключение


Предлагаемые автором статьи положения в области управления рисками основываются на многолетних исследованиях, проводимых в рамках грантов Российского фонда фундаментальных исследований и Международного научного фонда экономических исследований академика Н. П. Федоренко. Глубокое изучение природы риска и полученные эмпирические данные являются важным приращением научных знаний в области риск-менеджмента и, по мнению автора статьи, должны быть включены в последующую версию ответственного стандарта управления рисками.


Процесс обновления национального стандарта управления рисками является стратегически важной задачей, т. к. новые знания способны значительно повысить шансы на успех в процессе достижения национальных целей и проектов развития Российской Федерации на период до 2024 года, таких как «Здравоохранение», «Образование», «Демография», «Культура», «Безопасные и качественные автомобильные дороги», «Жилье и городская среда», «Экология», «Наука», «Малое и среднее предпринимательство и поддержка индивидуальной предпринимательской инициативы», «Цифровая экономика», «Производительность труда и поддержка занятости», «Международная кооперация и экспорт», «Комплексный план модернизации и расширения магистральной инфраструктуры».


Результаты исследования представлены в статье:

Николаенко В.С. Проект отечественного стандарта управления рисками // Инновации в менеджменте, 2020. - № 3 (25). – С.40-49.

Николаенко В.С
. Проект отечественного ст
Download ПРОЕКТ ОТЕЧЕСТВЕННОГО СТ • 373KB

Карта сайта

Справка о постановке на учет физического лица в качестве налогоплательщика налога на профессиональный доход за 2020 г. №1965729 от 08.08.2020 г.

здесь учат управлять

  • Vkontakte - серый круг
  • Facebook
  • YouTube

БЕЗРИСКОВЫХ

ВАМ ПРОЕКТОВ!

2018 - 2020

Николаенко Валентин Сергеевич ©