На страницах нашего онлайн портала alivahotel.ru мы расскажем много самого интересного и познавательного, полезного и увлекательного для наших постоянных читателей.
Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.
Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.
Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).
Рис. 1. Структура основных понятий риск-менеджмента
Представленная модель построена на основе следующей логики.
В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:
Рис. 2. Диаграмма «галстук-бабочка»
Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.
Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:
Примечание: объекты воздействия опасного события приведены для примера.
Таблица 3. Шкала оценивания вероятности наступления опасного события
Оценка вероятности, %
Качественная оценка вероятности, баллы
Очень высокая — 81–100
Очень высокая — 5
Высокая — 61–80
Высокая — 4
Средняя — 21–60
Средняя — 3
Низкая — 1–20
Низкая — 2
Очень низкая — менее 1
Очень низкая — 1
Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).
Таблица 4. Матрица риска, ранги
Качественная оценка вероятности опасного события
Последствия
Малозначительные (1)
Небольшие (2)
Умеренные (3)
Значительные (4)
Катастрофические (5)
Очень низкая (1)
1
2
3
4
5
Низкая (2)
2
4
6
8
10
Средняя (3)
3
6
9
12
15
Высокая (4)
4
8
12
16
20
Очень высокая (5)
5
10
15
20
25
Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:
По результатам анализа определяется уровень риска в следующих интервалах:
После оценки риска наступает этап его обработки / модификации посредством:
Обработка риска включает следующие этапы:
Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:
Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.
Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:
Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:
Основные требования к навыкам менеджеров по риску включают способности:
Оценка риска осуществляется группой, включающей следующие роли:
Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:
В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).
Рис. 3. IDEF0-модель процесса менеджмента риска
Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.
Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.
Таблица 5. Основные параметры паспорта риска
№
Параметр
Требования и рекомендации
1
Код регистрации (в реестре) и название риска (опасного события)
Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5].
Тип риска (внешний или внутренний)
При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3].
Вид риска (экономический, технический, социальный, экологический)
Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5].
Владелец риска (ответственный за менеджмент риска)
Риск-менеджеры (эксперты по оценке риска)
Область или объект воздействия риска (организация, среда, персонал, продукт, процесс)
При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:
Заинтересованные (причастные) стороны, подверженные риску
Источник и условия возникновения риска (опасного события)
Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7].
Уровень (балл) последствий воздействия риска (опасного события)
Уровень (балл) вероятности возникновения опасного события
После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3].
Оценка уровня (ранга) риска
Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6].
Решение о необходимости обработки риска
Мероприятия по обработке риска (снижению вероятности и/или последствий)
Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:
Ответственный за обработку риска
Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:
Срок выполнения мероприятий по обработке риска
Этапы обработки риска включают в себя:
Индикаторы мониторинга риска
Сведения о результативности и эффективности обработки риска (оценка и опыт)
Направления улучшения инфраструктуры риск-менеджмента
Периодичность актуализации оценки риска (реестра риска)
Дата актуализации сведений о риске (в реестре)
Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio
Рис. 5. Карточка раздела документа
Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.
Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).
В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).
Рис. 7. Отчет «Паспорт риска»
Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.
Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу
Рис. 9. Лист «Риски» Excel-отчета по мониторингу
Рис. 10. Лист «Требования» Excel-отчета по мониторингу
Для удобства навигации отчет содержит необходимые автоматические ссылки.
Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.
Источники информации:
Опубликовано по материалам: «Менеджмент качества», 03/2019.
Построение системы управления рисками: как обезопасить свой бизнес
Вопросы, рассмотренные в материале:
Управление рисками — это многоступенчатый комплекс последовательных действий, направленных на выявление, оценку и снижение возможных негативных последствий и потерь во время и после реализации проекта. Основной целью управления рисками является эффективное использование капитала и максимизация дохода. Построение системы управления рисками имеет приоритетное значение для развития успешного бизнеса.
В чем смысл построения системы управления рисками
Построение системы управления рисками в организации позволяет нейтрализовать или свести к минимуму вероятность возникновения неблагоприятного результата деятельности и снизить убытки предприятия.
Риск-менеджмент — это система, направленная на управление риском. Она включает в себя ряд стратегических, тактических, проектных и оперативно-производственных мероприятий. Системный и целенаправленный подходы обеспечивают высокую управленческую функциональность менеджмента. Для реализации поставленных задач и достижения цели используются все методы эффективного руководства предприятием: перераспределение финансов, логистика, учет, анализ продаж и т.д. Комплексная антирисковая система обеспечивает возможность:
Функциональная неопределенность плохо коррелирует с масштабами деятельности. Системный и оперативный менеджменты, организованные на крупных предприятиях, намного эффективнее, чем методы опытного исследования, которые активно используются руководством небольших фирм. В маленьких компаниях резко увеличивается себестоимость управления, повышается количество факторов риска. Поэтому одним из наиболее важных условий эффективной деятельности является построение системы управления рисками на предприятии любой величины. Особое значение имеет системность антикризисных мер.
Непосредственными объектами контроля являются неблагоприятные события и экономические отношения на их фоне, а также рисковые инвестиции. Управленческие субъекты рассматриваются в двух аспектах: в широком смысле — это весь коллектив компании, включая руководство, а в узком смысле — это специально уполномоченные менеджеры, сотрудники и подразделения предприятия. В ситуации риска управленческие цели и задачи должны быть неразрывно связаны со всеми стадиями развития компании.
Топ-3 статей, которые будут полезны каждому руководителю:
10 нюансов построения системы управления рисками
Особенности построения системы управления рисками в России
Современные реалии в России осложняют процесс построения, внедрения и реализации системы управления рисками на небольших предприятиях. Развитие риск-менеджмента возможно только в крупных и средних по величине компаниях, где регулярно разрабатываются элементы антирисковой программы. И если в странах Запада преобладают системные, комплексные и многофакторные подходы к построению системы управления рисками в корпорации, то российский риск-менеджмент развивается поэтапно и чаще всего обусловлен остро назревшей потребностью, например, экологическими или техногенными обстоятельствами, которые влияют на качество грузоперевозок и могут привести к убыточности предприятия.
Построение российской системы управления рисками (СУР) происходит по-другому. Историческое зарождение института СУР началось в компании. Постепенно антирисковая система расширяла свою функциональность за счет добавления в нее новых элементов и «опций». В компаниях со структурой олигополии или монополии, на предприятиях с привлечением иностранного капитала, как правило, реализуется западный подход формирования СУР. Но в отечественном бизнесе не всегда соблюдается комплексный метод, внедрение СУР происходит по индивидуальному уникальному алгоритму. Это объясняется определенными причинами:
Чтобы понять и оценить практическую значимость СУР, достаточно проанализировать статистику потерь от непредвиденных ситуаций за несколько последних лет, а затем отследить динамику убыточности. Для этого следует произвести расчеты: из показателя снижения убытков вычесть расходы на внедрение СУР. Такое несложное вычисление, положенное в основу KPI для руководителей подразделений и риск-менеджеров, позволяет оценить эффективность построения системы управления рисками в компании.
СУР — это не единственный компонент, который на регулярной основе необходимо включать в систему менеджмента российских предприятий. Для построения и развития СУР потребуется время и определенные усилия. Но международная практика уже доказала эффективность антирисковых систем управления. Современные реалии подтверждают необходимость разработки отечественной методики, подобной COSO. Для ее создания можно использовать зарубежный опыт и национальные стандарты. Владельцам бизнеса рекомендуется не бояться экспериментов и смело внедрять КСУР в систему менеджмента предприятия.
Что именно оценивает система управления рисками
Временной период оценки рисков определяется специалистами подразделения экономической безопасности компании. Руководству ежеквартально предоставляются риск-отчеты.
Оценка финансовых рисков (валютных, процентных, ликвидности) выполняется с помощью методики сценарного моделирования. Имитируется стоимость риск-объектов с применением функциональной зависимости их цены от значений риск-факторов: курсов валют, рыночных процентных ставок, котировок ценных бумаг, прайса услуг компании. Итоговый результат оценки выражается возможными отклонениями сметы риск-объекта организации от запланированного в бюджете показателя.
Оценка кредитных рисков отдельных заемщиков и кредитного портфеля компании выполняется с учетом количественных факторов кредитоспособности и качественных показателей. Составляется прогноз кредитного качества заемщиков и рисков, связанного с невыполнением обязательств перед компанией (задержкой платежей, неполным погашением долга). Такой анализ делается с целью выявления возможных убытков по всем операциям прямого и косвенного кредитования.
Оценка риска ликвидности выполняется для прогнозирования неблагоприятного влияния различных факторов (курса валют, процентных ставок, темпов роста инфляции, стоимости услуг компании, потери ключевых бизнес-партнеров, рыночной концентрации, результативности системы управления ликвидностью, эффективности бюджетирования и кассового планирования) на ликвидность предприятия. Конечным результатом является сценарий возможных разрывов ликвидности, которые при возникновении неблагоприятной ситуации свидетельствуют о том, что организация не может мобилизовать финансовые ресурсы на приемлемых условиях для того, чтобы обеспечить свои обязательства при отсутствии сбалансированности структуры активов и пассивов.
Оценка деловых рисков заключается в составлении прогноза изменения стоимости риск-объектов от значений риск-факторов: планируемой клиентской базы, объема потребления продукции и услуг компании.
Финансовый директор через определенный промежуток времени проводит стресс-тестинг и бэк-тестинг расчетных моделей, которые используются для оценки.
Построенная система управления рисками оценивает отрицательные последствия внешней среды в части политических и налоговых рисков.
1. Оцениваются неблагоприятные изменения во внутренней системе Российской Федерации и угрозы, связанные с международными событиями.
2. Результатом оценки нежелательных политических рисков являются возможные преобразования количественных показателей риск-объектов вследствие происходящих событий в политике.
3. Прогноз налоговых рисков основывается на вероятных изменениях экономической и политической ситуаций в России и странах, принимающих участие в инвестиционных проектах компании. К негативным последствиям относятся: усиление налоговой нагрузки, введение налоговых санкций, изменение таможенных пошлин, появление новых административных барьеров. В оценку операционных рисков входит составление прогноза функционирования организационной, производственной, коммерческой, техногенной структуры и работы персонала.
4. Для оценивания неблагоприятных изменений организационной структуры выполняется построение проективной таблицы целей компании на ее организационную структуру. Такой подход позволяет проанализировать, насколько цели и задачи структурных подразделений и высшего руководства предприятия соответствуют его стратегическим целям и задачам.
5. Основные факторы производственных рисков:
6. Основные факторы коммерческих рисков:
7. При планировании техногенных рисков эксперты изучают и анализируют условия эксплуатации и надежности, показатели избыточной нагрузки технических средств. Они прогнозируют объективную возможность возникновения внезапной аварийной ситуации, предсказывают ее масштабы, сценарий развития и негативные последствия, рассчитывают убытки, которые может понести компания.
8. Прогноз рисков персонала основывается на показателях, которые отражают эффективность деятельности организации и ее отдельных работников.
Как происходит управление разными типами рисков
Финансовый директор компании вместе с подразделением, ответственным за построение системы управления рисками в корпорации, разрабатывает несколько наиболее результативных стратегических вариантов СУР. Для каждой разновидности стратегии прогнозируется величина снижения отрицательного воздействия, рассчитывается экономическая эффективность и затраты на проведение антирисковых мероприятий. Все варианты утверждаются Генеральным директором компании. Далее антирисковые мероприятия, одобренные руководителем предприятия, включаются в финансово-хозяйственный план компании, который тоже утверждается в установленном порядке. Коммерческий директор обеспечивает реализацию запланированных действий и контроль исполнения принятых управленческих решений.
Построение и реализация СУР основывается на двустороннем и дифференцированном подходе. Такой подход при осуществлении СУР предполагает:
Процесс воздействия на риск-объекты и риск-факторы на стадии принятия управленческих решений осуществляется для спрогнозированных неблагоприятных событий, убытки от которых заранее рассчитаны.
Дифференцированный подход к риск-менеджменту заключается в возможности выбора наиболее эффективного способа для управления непредвиденной ситуацией в зависимости от ее вида.
Выбор того или иного метода управления осуществляется финансовым директором компании и подразделением, ответственным за построение системы управления рисками. За методическое руководство отвечает отдел экономической безопасности предприятия.
Мероприятия финансового риск-менеджмента:
Финансовый риск-менеджмент осуществляет коммерческий директор.
Мероприятия кредитного риск-менеджмента:
Кредитный риск-менеджмент осуществляет финансовый директор компании.
Мероприятия риск-менеджмента ликвидности:
Риск-менеджмент ликвидности осуществляет финансовый директор предприятия.
Операционный риск-менеджмент реализуется в сегменте структурно-организационных, производственных, коммерческих, техногенных рисков и возможных потерь по вине персонала.
Риск-менеджмент организационной структуры включает в себя исключение дублирования ролей подразделений, заполнение функциональной пустоты, снижение финансовых затрат и повышение коэффициента эффективности организационной структуры, контроль соответствия целям и задачам компании. Риск-менеджмент организационной структуры осуществляется отделом, ответственным за построение системы управления рисками, совместно с руководителями соответствующих бизнес-процессов, координируется финансовым директором предприятия.
Для эффективного управления производственными процессами и исключения вероятности убытков необходимо учитывать агрегированный характер риска.
Производственный риск-менеджмент осуществляется подразделением, ответственным за построение СУР компании, совместно с руководителями соответствующих процессов, координируется директором по производству.
Риск-менеджмент коммерческих процессов осуществляется по нескольким направлениям:
Риск-менеджмент коммерческих процессов выполняется подразделением, ответственным за построение системы управления рисками, совместно с руководителями соответствующих процессов, координируется исполнительным директором компании.
Выбор наиболее эффективных методов управления техногенными рисками осуществляется с учетом стоимости их реализации и экономической результативности. Например, расширение технических мощностей, обучение работников позволят снизить предсказываемые материальные убытки и исключить травматизм персонала. Прогнозированием возможных техногенных аварий занимается подразделение, ответственное за построение СУР, совместно с руководителями соответствующих процессов, координируется техническим директором компании.
Риск-менеджмент персонала предусматривает управление мотивацией всех сотрудников организации, их обучение, создание эффективной системы поддержки принятия решений с целью снижения потерь, связанных с ошибочными действиями работников предприятия.
Риск-менеджмент персонала осуществляется подразделением, ответственным за построение СУР компании, совместно с руководителями соответствующих процессов, координируется руководителем по работе с персоналом.
Риск-менеджмент внешнеэкономической деятельности осуществляется Генеральным директором организации посредством диверсификации активов и оценки политических рисков.
Аналитическая оценка агрегированного риска с учетом корреляции всех возможных риск-факторов выполняется руководителем компании по финансам.
Контроль рисков заключается в информировании Генерального директора и соответствующих подразделений предприятия о состоянии Паспорта рисков и оценочных показателях возможных отклонений стоимости риск-объектов предприятия по сравнению с запланированными бюджетными данными.
В мониторинг эффективности работы СУР включаются следующие направления:
Алгоритм построения системы управления рисками
Менеджмент и все его компоненты неразрывно связаны со стратегией предприятия. Эта аксиома определяет принципы управленческой деятельности и основные узловые моменты. Специфика построения системы управления рисками в корпорации основана на корректировке локальной стратегии работы с неблагоприятными событиями в ходе процесса контроля. Для разработки эффективной СУР очень важен опыт практического применения финансово-экономической теории, налогового и гражданского права, внешних нормативных актов и стандартов.
Построение системы управления рисками, пример которой приведен ниже,основывается на опыте работы отечественных компаний с ориентиром на методику COSO. Создание данной модели СУР осуществляется по следующему алгоритму:
Принципы функционирования системы управления рисками, о которых нужно помнить всегда
Процессы построения, внедрения и развития СУР на предприятии напрямую зависят от принципов ее реализации. Данные правила должны строго соблюдаться всеми руководителями, ответственными за построение СУР и выполнение всех процедур системы управления рисками персоналом компании. При создании и внедрении следует соблюдать следующие принципы:
