7.5. Система менеджмента риска
В словаре русского языка Даля риск определяется и как возможная опасность чего-либо, и как действие наудачу, требующее смелости и бесстрашия в надежде на счастливый исход.
В настоящее время в области менеджмента используют различные определения термина "риск", что обусловлено неоднозначностью подходов специалистов по менеджменту к проблеме риска в тех или иных видах деятельности организаций.
Существуют определения, в которых риск трактуется как отклонение от желаемого результата, непредсказуемость результатов или просто возможность потерь. Во многих определениях внимание обращается только на то, что риск так или иначе связан с какими-либо негативными последствиями — потерями, угрозами, опасностями. Например, в законе "О техническом регулировании" риск определен как "вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".
Вместе с тем последствия рисков могут быть не только негативными, но и позитивными, поскольку они всегда сопряжены с неопределенностью будущего: риск существует там, где есть неопределенность. В условиях определенности риски отсутствуют, так как негативные или позитивные последствия неких событий всегда предопределены и неизбежны.
Неопределенность — одно из центральных понятий в современной теории и практике управления. Важность этого понятия обусловлена тем, что на деятельность любой организации влияют неопределенные факторы.
К ним относятся такие факторы внешней и внутренней среды, возникновение или воздействия которых неизвестны или известны не в полной мере. Например, решение предприятия о производстве новой продукции или услуг сопряжено с проявлением различных факторов неопределенности, приводящих к возникновению рисков с негативными последствиями. Такими факторами неопределенности могут быть: невыполнение поставщиками сырья и материалов своих договорных обязательств; несоответствие качества закупок проектной документации; нестабильность качества выпускаемой продукции; увеличение затрат на производство из-за перерасхода сырья, материалов, энергии, отказов оборудования; уменьшение объемов реализации продукции в результате снижения спроса на нее; действия конкурентов; изменения в законодательстве и др. При этом фактором неопределенности может быть и высокий спрос на новую продукцию, который позволит организации получить значительную прибыль вследствие реализации этой продукции в больших объемах.Таким образом, риск представляет собой неопределенность возникновения события, способного позитивно или негативно повлиять на достижение установленных целей. Любое рисковое событие имеет свои причины и последствия. При этом даже одно такое событие может быть обусловлено множеством причин и иметь множество последствий. Например, недобросовестное отношение к своим обязанностям инженера по технике безопасности может привести к возгоранию неисправной электропроводки, пожару в производственном помещении предприятия, остановке производства, срыву договорных поставок, несвоевременным платежам по кредитам и т. д.
Далее мы используем преимущественно определения терминов в области менеджмента риска, содержащиеся в ГОСТ Р 51897 [5][45].
Риск — сочетание вероятности события и его последствий.
Вероятность — мера того, что событие может произойти. Математическое определение представляет собой "действительное число в интервале от 0 до 1, относящееся к случайному событию".
Число может отражать относительную частоту в серии наблюдений или степень уверенности в том, что некоторое событие произойдет. Для высокой степени уверенности вероятность близка к единице [5].Рисковое событие — событие, оказывающее негативное воздействие на процесс (вид деятельности). Рисковыми событиями могут быть: усиление позиций конкурентов, банкротство поставщиков, увеличение цен на сырье и материалы, выход из строя технологического оборудования, снижение спроса на продукцию предприятия и др.
С понятием "риск" в ГОСТ Р 51897 неразрывно связано понятие "причастная сторона" — это любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию риска или ощущать себя подверженными его воздействию. Причастная сторона включает в себя лицо, принимающее решение, и заинтересованную сторону, но имеет более широкое значение, чем заинтересованная сторона[46].
Каждая организация постоянно сталкивается с большим количеством взаимосвязанных рисков, проявляющихся в различных сферах ее деятельности и требующих постоянного управления. Наиболее характерными для большинства организаций являются следующие группы рисков: финансовые, коммерческие, производственные, экологические, безопасности, социальные, политические. Примеры видов рисков приведены в табл. 7.13 [71].
Все риски, имеющие негативные последствия, неизбежно связаны с экономическими потерями (убытками). Поэтому с любым из них сопряжено понятие экономического риска как возможности возникновения нежелательных убытков, измеряемых в денежном выражении [84].
Таблица 7.13 Риски в различных сферах деятельности организации
|
Различные системы менеджмента (СМК, СЭМ, СМБПП, охраны здоровья и безопасности персонала, отраслевые системы менеджмента качества и др.), разрабатываемые на основе требований международных стандартов, направлены на снижение тех рисков организации, которые непосредственно связаны с областью распространения требований соответствующего стандарта [16].
Эти системы позволяют значительно уменьшить влияние факторов неопределенности при осуществлении организациями различных видов деятельности. В частности, СМК на основе требований ГОСТ Р ИСО 9001 предназначена для уменьшения рисков поставки на рынок неконкурентоспособной продукции путем обеспечения стабильности ее качества на основе удовлетворенности потребителей и других заинтересованных сторон. В ГОСТ Р ИСО 9004 указано: "Руководство организации несет ответственность за принятие мер по идентификации и уменьшению потенциального риска для пользователей продукции и процессов организации. Следует проводить оценивание рисков, чтобы оценить возможность их появления и последствия вероятных отказов или недостатков продукции или процессов. Результаты оценки надо использовать для определения и осуществления предупреждающих действий с целью уменьшения идентифицированных рисков" [10].
Системы экологического менеджмента позволяют снизить риски отрицательного воздействия значимых экологических аспектов на окружающую среду. Например, устранение факторов неопределенности при разработке и внедрении в организации системы экологического менеджмента в соответствии с требованиями ГОСТ Р ИСО 14001 позволяет добиться:
• улучшения контроля и управления наиболее значимыми экологическими аспектами (выбросы в атмосферу, переработка отходов, оптимальное использование природных ресурсов);
•снижения потерь, связанных с экологическими платежами и штрафными санкциями;
• уменьшения количества аварий и затрат на ликвидацию их последствий;
•повышения репутации организации в глазах потребителей, инвесторов, акционеров и других заинтересованных сторон.
Менеджмент безопасности и охраны труда направлен на снижение рисков отрицательных воздействий производственных факторов на здоровье персонала и имущество предприятия.
Оценки рисков используются и в отраслевых системах менеджмента (автомобильной, пищевой и др.).
Однако системы менеджмента качества, безопасности, экологического менеджмента, разработанные в соответствии с требованиями соответствующих стандартов, направлены на снижение рисков лишь в определенных видах деятельности организации, т. е. в сфере действия этих систем. Они не позволяют решить совокупности проблем, обусловленных всеми видами рисков, которые могут представлять опасность для организации. Кроме того, разработка и внедрение самих этих систем связана с рисками их несоответствия требованиям стандартов. Например, разработка СМК организации может быть сопряжена со следующими рисками:
• нарушением принципа "лидерство руководства" — высшее руководство не обеспечивает принятых обязательств по разработке и внедрению СМК и постоянному улучшению ее результативности;
• недостаточностью полномочий у представителя высшего руководства организации по качеству для реализации ее политики и целей в области качества;
• недостаточной компетентностью персонала организации для реализации требований стандарта ИСО 9001;
• реорганизацией организации или изменением собственника;
• изменением ассортимента продукции и (или) технологии производства;
• нарушением принципа "вовлечение персонала" — руководство не воспринимает персонал всех уровней как ценность организации и недостаточно использует его способности.
Для минимизации воздействий рисков с негативными последствиями и обеспечения своего устойчивого финансового положения и прочных позиций на рынке в условиях жесткой конкуренции организации должны осуществлять системное управление рисками.
Еще в конце прошлого века управление различными рисками организаций не имело системного характера и осуществлялось в рамках их отдельных подразделений. В последнее время большое распространение получают концепции менеджмента рисков, получившие название риск-менеджмента.
Менеджмент риска — скоординированные действия по руководству и управлению организацией в отношении риска [5].
Риск-менеджмент в широком смысле — процесс выявления и оценки рисков, а также выбор методов и инструментов управления с целью их уменьшения до приемлемого уровня. Это одна из важнейших областей современного менеджмента, связанная со специфической деятельностью менеджеров в условиях неопределенности и сложного выбора вариантов принятия решений.
Российские организации, осознавшие значимость риск- менеджмента в своей деятельности, создают отделы управления рисками и вводят в штатные расписания должности риск- менеджеров, в функциональные обязанности которых входит управление рисками. Однако в большинстве организаций РФ системный подход к риск-менеджменту отсутствует. Управление рисками зачастую сводится к выполнению нормативов надзора, осуществлению значительного количества внутренних проверок и созданию службы безопасности, контролирующей действия персонала и контрагентов. Всех этих действий недостаточно для полноценного управления рисками.
В соответствии с ГОСТ Р 51897 менеджмент риска является составной частью общего менеджмента организации и реализуется в рамках системы менеджмента риска (СМР).
Система менеджмента риска — набор элементов системы менеджмента организации в отношении менеджмента риска. К элементам системы менеджмента риска относятся стратегическое планирование, принятие решений и другие процессы, затрагивающие риск.
В общем виде менеджмент риска представляет собой последовательное выполнение следующих операций:
• идентификация риска;
• анализ риска;
• оценивание риска;
• обработка риска;
• коммуникация риска.
Эти операции менеджмента риска направлены на постоянное улучшение СМР, имеют циклический характер и повторяются до того момента, когда организация сочтет риск приемлемым или отвергнет его. Менеджмент риска организации является объектом постоянного мониторинга и контроля.
Идентификация рисков — систематическое выявление рисков, характерных для определенного вида деятельности, составление их перечня, выявление причин (факторов) возникновения и возможных последствий, а также документирование рисков.
Большую роль в процессах идентификации играют классификации рисков, принятые в организации. Именно классификации позволяют выявить причины возникновения рисков для дальнейшего управления ими. Классификации рисков должны охватывать все возможные для сферы деятельности организации риски и при этом не быть слишком усложненными и неудобными в использовании. Должна поддерживаться база знаний о рисках, содержащая классификации рисков, их определения, критерии диагностики и системы оценок, а также отзывы использовавших эти знания специалистов в области менеджмента рисков.
Классификация видов рисков может быть осуществлена по следующим признакам [71]:
• по сфере деятельности организации (см. табл. 7.13);
• характеру менеджмента — стратегические, тактические, оперативные;
• уровню риска — низкие, умеренные, значительные, критические;
• степени опасности — допустимые, недопустимые;
• возможности предвидения — прогнозируемые, непрогнозируемые;
• степени ущерба — несущественные, средние, высокие и катастрофические.
С помощью классификации выявляется наиболее полный состав рисков, связанных с деятельностью организации, а также осуществляется выбор именно тех рисков, воздействие которых может быть снижено самой организацией. Например, при рассмотрении степени ущерба, т. е. силы воздействия на финансовую устойчивость и возможность дальнейшей деятельности организации, может исходить из того, что несущественным риском является потеря организацией до 10-20% годовой прибыли; средним — до 50-70%; высоким — снижение капитала на 10-30%; катастрофическим — потеря всего капитала. Однако приведенные критерии приемлемы не для всех организаций. Считается более правильным определять влияние ущерба с учетом индивидуальной ситуации в организации. Так, если организации важно получить определенный объем дохода для выплаты кредита, то даже небольшое снижение дохода может быть критическим. А для организации, акционеры которой готовы поддержать ее финансовыми ресурсами и при полной потере капитала, риск прекращения деятельности будет минимальным.
Выявление рисков, непосредственно связанных с деятельностью производственных организаций, может осуществляться последовательно по этапам жизненного цикла выпускаемой ими продукции (см. подп. 7.1.2). Организации торговли, финансовые и другие выявляют свои риски по этапам осуществления технологических процессов. Например, для предприятий торговли, осуществляющих реализацию продовольственных товаров, наиболее вероятны риски продаж некачественных и опасных для здоровья потребителей товаров. Эти риски возможны на этапах транспортирования товаров от поставщика до предприятия торговли, входного контроля, хранения и реализации (из-за нарушений правил продажи, сроков реализации и по другим причинам). Кроме того, риски могут выявляться по отдельным объектам предприятия — зданиям, сооружениям, оборудованию, структурным подразделениям и т. д.
Процесс выявления рисков может также включать в себя исследовательскую работу, проводимую специалистами риск- менеджмента организации, или привлеченными со стороны экспертами для получения более глубоких знаний о рисках, свойственных данной организации.
На стадии идентификации необходимо выявить наибольшее количество рисков. Чем больше рисков выявлено, тем качественнее осуществлена их идентификация.
Перечень выявленных рисков может быть представлен в виде табл. 7.14.
Таблица 7.14 Форма перечня рисков организации
|
Анализ риска представляет собой систематическое использование информации для последующего оценивания риска и разработки мероприятий, направленных на его обработку. Используемая информация может включать результаты анализа предыдущих рисков организации, опроса экспертов (специалистов в области рисков), менеджеров и других причастных лиц.
Для эффективного анализа всего многообразия рисков в деятельности организации необходимо применять целый комплекс методов, направленных на качественный и количественный анализ рисков.
Задачами качественного анализа являются определение потенциальных зон рисков, выявление их источников и причин а также прогнозирование практических выгод и возможных негативных последствий проявления выявленных рисков. При этом могут быть использованы методы:
• анализ имеющейся информации;
• сбор новой информации;
• моделирование деятельности организации;
• эвристические (экспертные, метод "мозгового штурма" при участии специалистов различных подразделений организации и др.);
• анализ причин и последствий рисков;
• анализ "дерева отказов";
• диаграммы зависимости;
• методы ранжирования.
Преимущество качественного анализа рисков по сравнению с количественным состоит в его относительной простоте, однако из-за субъективности данный вид анализа не обладает достаточной достоверностью и надежностью.
Количественный анализ является основным при оценивании риска. Он направлен на определение количественных значений вероятности наступления рисковых событий и их последствий: объема вызванного ими ущерба или выгоды, интересов причастных сторон и других характеристик.
Эффективность применения методов анализа риска повышается при формализации риска с целью математического моделирования его воздействия на результаты деятельности организации. В современных условиях управление деятельностью многих организаций достигло такой сложности, что без использования элементов теории вероятностей и методов математической статистики расчет их устойчивости к воздействиям рисков практически невозможен. Оценка вероятности и ее применение — достаточно сложная задача. Однако имеющиеся в организации базы данных о рисках способны помочь получить такие оценки исходя из предшествующего собственного опыта или опыта аналогичных организаций. Эти опытные данные могут быть представлены в виде простых и понятных формулировок — "низкий, средний, высокий", с соответствующими численными значениями, например 17, 50, 84%.
Оценивание риска — процесс сравнения числовых значений количественно оцениваемого риска с выбранными для определения его значимости критериями.
Количественное оценивание рисков осуществляется с помощью довольно сложных расчетных методов, основанных на использовании большого объема статистических данных. Расчеты направлены на определение вероятности возникновения риска и связанного с ним проявления какого-либо рискового события, приводящего к последствиям определенной тяжести и определенного ущерба. Расчеты производят с использованием таких методов, как например: метод Монте-Карло, имитационное моделирование, динамическое программирование, теория игр, FMEA (Анализ видов и последствий отказов), HAZOP (Анализ опасности и работоспособности), FTA (Анализ "дерева неисправностей") и др.
Рисковые события, приводящие к последствиям той или иной тяжести (травматизм, профессиональные заболевания различной степени тяжести и даже летальный исход), могут быть связаны с производственной деятельностью человека.
Следствием рисковых событий различных видов является ущерб (убытки) организации. Например, при нарушении работоспособности производственных линий с частотой два раза в неделю и простое по четыре часа, можно рассчитать, какой объем продукции не будет произведен. В случае принятия решения о сверхурочной работе для снижения риска невыполнения условий контракта с заказчиком, дополнительные затраты на ремонт и оплату сверхурочных работ и будут тем размером убытка, который необходимо определить.
Для определения допустимого уровня риска в организациях могут использоваться специально разработанные шкалы. Примером может служить эмпирическая шкала допустимого уровня риска, представленная в табл. 7.15.
В соответствии с этой шкалой при вероятности наступления рискового события, не превышающей 0,4, уровень риска считается допустимым — здесь рекомендуется принимать обычные предпринимательские решения по снижению риска или принимать этот риск. При вероятности наступления рискового события свыше 0,4 необходимо принимать решения, направленные на предотвращение риска.
Таблица 7.15 Эмпирическая шкала допустимого уровня риска
|
Однако необходимо знать, что значительная часть предлагаемых для оценивания рисков шкал носит условный характер и в любом случае окончательное решение о допустимой для конкретной ситуации вероятности нежелательного исхода остается за риск-менеджером или руководителем организации.
Объективное оценивание риска является не самоцелью, а основой для последующего принятия решений по его обработке.
Обработка риска представляет собой процесс выбора и осуществления мер по модификации (видоизменению) риска. Основными видами модификации риска являются: предотвращение, оптимизация, перенос или сохранение.
Предотвращение риска — решение не быть вовлеченным в рискованную ситуацию (избежание риска) или действие, предупреждающее вовлечение в нее.
Избежание рисков, т. е. уклонение от них, является одним из критических решений в области риск-менеджмента. В настоящее время такой подход рекомендуют наравне с другими методами в случае, если величина риска и вероятность его наступления высоки. Однако данный метод однозначно ведет к отказу от получения дополнительной прибыли для организации. В условиях возрастания нестабильности и непредсказуемости развития мирового и локальных рынков менеджер, избегающий рискованных решений, становится опасным для организации, обрекает ее на застой и потерю конкурентоспособности.
Предотвращение риска, в отличие от его избежания, направлено на его снижение до приемлемого уровня путем осуществления предупреждающих действий. Однако не все риски можно предотвратить, так как многие из них часто связаны с непредсказуемыми событиями во внешней среде (например, наступление глобального экономического кризиса, отсутствие источников внешнего финансирования и т. д.). В таких случаях целесообразно осуществление действий по смягчению последствий риска, позволяющих минимизировать их влияние. Чтобы быть эффективными, планы этих действий должны быть разработаны заблаговременно.
Оптимизация риска направлена на минимизацию негативных и максимальное использование позитивных последствий рисковых событий и, соответственно, вероятности их наступления. В общем виде оптимизация направлена на приведение соотношения риск/доход к приемлемым с точки зрения организации величинам. При оптимизации риска должны учитываться виды рисков (см. табл. 7.13), стоимость затрат на их оптимизацию и законодательные требования, относящиеся к области деятельности организации.
Перенос риска представляет собой разделение с другой стороной бремени потерь (выгод) от риска с целью повышения надежности в достижении положительных результатов. Передавать часть ответственности за риск целесообразно именно тем лицам или организациям, которые лучше других могут его контролировать.
Перенос риска может осуществляться: путем страхования рисков и различных объектов собственности предприятия; покупкой готовой компоненты вместо ее создания собственными силами; аутсорсингом; хеджированием и др.
Страхование в риск-менеджменте — процесс формирования и использования страхового фонда определенной группой лиц, имеющих страховой интерес, обусловленный рисковыми обстоятельствами времени и места. В частности, применение страхования позволяет организации избежать крайне трудоемких и подчас весьма приблизительных расчетов вероятности рисковых ситуаций, так как необходимые статистические сведения наиболее полно сконцентрированы именно в страховании и в обобщенной форме интегрированы в страховой тариф.
Аутсорсинг (от англ. outsourcing — внешний источник) — передача организацией определенных бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. В отличие от услуг, имеющих разовый и эпизодический характер, на аутсорсинг передаются функции по профессиональному юридическому и бухгалтерскому обслуживанию, по поддержке бесперебойной работоспособности отдельных систем и инфраструктуры на основе длительного договора.
Компании, не использующие аутсорсинг, фактически вынуждены нести неоправданные затраты и обслуживать непрофильные активы (например, поддержка работоспособности информационной системы и компьютерного оборудования), используя для этого собственный штат.
Инструмент хеджирования — финансовый инструмент, при помощи которого осуществляется защита от потенциальных рисков валюты, ценных бумаги, депозитов, срочные контрактов и т. д.
Сохранение риска предусматривает полное принятие бремени потерь или выгод от конкретного риска. Принимая риск, организация исходит из того, что он существует и изменить его параметры невозможно либо нецелесообразно. Сохранение риска не включает его перенос любыми средствами.
Следует иметь в виду, что в результате обработки первоначального риска полностью устранить его воздействие на деятельность организации практически невозможно, — остается его часть, которая ГОСТ Р 51897 определена как "остаточный риск". Он может быть настолько малым, что любые действия в отношении него нецелесообразны. Такой риск может считаться допустимым.
Коммуникация риска представляет собой обмен информацией о риске или совместное использование этой информации лицами, принимающими решение, и другими причастными лицами. Информация о риске может касаться его природы, вероятности, формы, тяжести, приемлемости, мероприятий или других аспектов риска.
Управление риском — процессы, осуществляемые для выполнения решений в рамках менеджмента риска. В соответствии с ГОСТ Р 51897 управление риском может включать мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям.
В идеале для управления рисками в организации должно быть создано специальное подразделение, возглавляемое риск- менеджером, который занимается исключительно проблемами управления рисками и координирует деятельность всех подразделений с целью их регулирования и обеспечения компенсации возможных потерь и убытков. Задача риск-менеджера и его подразделения состоит в разработке стратегии и принципов управления риском на предприятии, которые должны быть изложены в его внутренних нормативных документах. Примером организации административной структуры по управлению риском может служить создание отдела, состоящего из риск- менеджера и небольшой рабочей группы из двух-трех человек.
Разработка СМР в организации включает те же этапы, что и разработка других систем менеджмента: принятие политики СМР, установление целей в области рисков, планирование работ, документирование, обеспечение функционирования, анализ и улучшение СМР. При этом данная система должна быть неотъемлемой частью корпоративного менеджмента.
В ноябре 2009 г. произошло важное событие в области риск-менеджмента: опубликован стандарт ИСО 31000:2009 "Риск-менеджмент. Принципы и руководящие указания". Кроме того, опубликованы и другие документы в области риск- менеджмента: ИСО/МЭК 31010:2009 "Риск-менеджмент оценки риска", Руководство ИСО 73:2009 "Риск-менеджмент. Словарь", ВБ 31100:2008 "Риск-менеджмент. Свод практики".
В соответствии с определениями, содержащимися в ИСО 31000:2009, риск представляет собой "воздействие неопределенности на цели"; риск-менеджмент — "совокупность управляющих действий, направленных на снижение воздействия фактора неопределенности". Руководящие указания, содержащиеся в данном стандарте, направлены на обеспечение соответствия результатов деятельности организации законам, регламентам и стандартам. На основе этих указаний организации смогут управлять любыми типами рисков (независимо от их происхождения и характера) и ожидаемыми последствиями (негативными или позитивными), в том числе рисками ошибочной оценки соответствия продуктов, услуг или процессов установленным требованиям.
Данный стандарт позволяет организации управлять неопределенностью системным, эффективным и результативным способом как в стратегической перспективе, так и в рамках отдельных программ, проектов, функций и операций [69].
Еще по теме 7.5. Система менеджмента риска:
- 1.3. Принципы построения системы управления рисками банка. Система внутреннего контроля банка
- Глава 2. Управление рисками на макроэкономическом и микроэкономическом уровнях. Страхование в системе управления рисками
- ГЛАВА 5. СИСТЕМА УПРАВЛЕНИЯ РИСКАМИ ИПОТЕЧНОГО ЖИЛИЩНОГО КРЕДИТОВАНИЯ
- 9.1. Система управления рисками в таможенном контроле
- Глава 18. Система управления рисками
- 7.3. Принципы построения системы управления рисками банка. Система внутреннего контроля банка
- 5.2. ХАРАКТЕРИСТИКА ОСНОВНЫХ ЭЛЕМЕНТОВ СИСТЕМЫ УПРАВЛЕНИЯ РИСКОМ НЕСБАЛАНСИРОВАННОЙ ЛИКВИДНОСТИ
- 8.5. Системы корпоративного риск-менеджмента
- 3.1. современная система классификации рисков при проведении операций на мировом финансовом рынке
- 10.2. Система управления рисками