В настоящее время управление рисками находится на повестке дня практически каждой организации. Причин тому несколько. Первая, и самая очевидная, заключается в том, что в условиях нарастающей глобальной конкуренции перед менеджерами организаций встают вопросы повышения результативности и эффективности их компаний, чего можно добиться, как минимум уменьшением числа ошибок при принятии управленческих решений, то есть управлением рисками.
Благодарим редакцию журнала «Трамплин к успеху» НПО «Сатурн» за предоставление данного материала.
Авторы: Гришихин Сергей Александрович, АТ31000, руководитель проекта, служба генерального конструктора ПАО «ОДК-Сатурн», Воропанов Олег Александрович, инженер 2 категории бюро проектного управления службы генерального конструктора ПАО «ОДК-Сатурн»
Гришихин Сергей Александрович, АТ31000, руководитель проекта, служба генерального конструктора ПАО «ОДК-Сатурн»
Вторая причина заключается в существенных, если не сказать, радикальных изменениях «главного мирового стандарта бизнеса» ISO 9001:2015(E) «Quality management systems. Requirements» и его российской версии ГОСТ Р ИСО 9001-2015 «Системы менеджмента качества. Требования». Одной из ключевых особенностей обновленного стандарта является требование явного применения менеджмента риска в управлении бизнес-процессами организаций. Основные принципы и руководство по внедрению и развитию риск-менеджмента в организации изложены в стандарте ISO 31000:2009 «Risk management – Principles and guidelines» и его российской версии ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство».
Коротко рассмотрим основные понятия риск-менеджмента, для чего дословно приведем определение термина «риск» со всеми примечаниями из ГОСТ Р ИСО 31000:2010.
Риск – это влияние неопределенности на цели.
Примечание 1 – Влияние – это отклонение от того, что ожидается (положительное и/или отрицательное).
Примечание 2 – Цели могут иметь различные аспекты (например, финансовые и экологические цели и цели в отношении здоровья и безопасности) и могут применяться на различных уровнях (стратегических, в масштабах организации, проекта, продукта или процесса).
Примечание 3 – Риск часто характеризуется ссылкой на потенциально возможные события и последствия или их комбинации.
Примечание 4 – Риск часто выражают в виде комбинации последствий событий (включая изменения в обстоятельствах) и связанной с этим вероятности или возможности наступления.
Примечание 5 – Неопределенность – это состояние, заключающееся в недостаточности, даже частичной, информации, понимания или знания относительно события, его последствий или его возможности.
Выразим несколько важных идей современного риск-менеджмента.
Во-первых, важно понимать, что бессмысленно управлять рисками без четкого формулирования и детализации целей! Верным является и обратное утверждение: чтобы достигнуть поставленных целей нужно задумываться прежде всего о рисках и возможностях!
Дело в том, что решение, к какой цели двигаться и каким способом ее достигать, всегда является комбинацией множества возможностей (наступления положительных событий) и множества угроз (наступления отрицательных событий). Разного рода неопределенности будут возникать на всем пути достижения результата, и очевидно, что, чтобы их распознать и исследовать, менеджеру важно обладать достоверной информацией о процессе, объекте или событиях и правильно ее интерпретировать. А для этого нужны профессиональные знания об объекте риск-экспертизы и компетенции в области менеджмента рисков.
Во-вторых, важно различать функции менеджмента рисков.
Первая функция – «надзорная» или «полицейская» – произошла и культивировалась в США для борьбы с финансовыми махинациями на фондовом рынке и была сформулирована в стандарте COSO ERM сообществом внутренних аудиторов. Этот надзорный подход до сих пор востребован и диктуется органами государственного регулирования и реализуется аудиторами и/или службами внутреннего контроля организаций. Логика надзорного подхода складывается из следующего алгоритма требований: нарушения или ошибки (сознательные или неведомые), допущенные в системах менеджмента организаций (например, финансового менеджмента или менеджмента качества), могут привести к нежелательным событиям и последствиям, то есть – к реализации рисков. Поскольку цели бизнеса и аудита различные (главная цель бизнеса – «создать ценность и заработать», главная цель аудита – «выявить отклонения от установленных норм»), соответственно, задачи аудитора и риск-менеджера радикально отличаются, хотя они зачастую используют одну и туже информацию и применяют одинаковые методики.
Аудит – систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. Критерии аудита – совокупность политик, процедур или требований, используемых в качестве эталона.
ГОСТ Р ИСО 19011-2012 «Руководящие указания по аудиту систем менеджмента»
Вторая функция «прогнозная» или «предсказательная» постепенно эволюционировала в европейской и австралийской школах риск-менеджмента, которые изначально рассматривали управление рисками как центральную часть стратегического управления организацией. Видя негативный опыт компаний, реализующих только «надзорный» подход, был сформулирован очевидный вывод: системы управления рисками (СУР), созданные в отрыве от системы менеджмента организаций, не работоспособны и даже вредны, так как уверенность высшего руководства, в том что в организации выполняется управление рисками является ошибочной, поскольку руководители не получают достоверную информацию прогнозного характера, способствующую принятию проактивных информированных решений.
Приоритетность прогнозной функции риск-менеджмента отражена в самом определении ГОСТ Р ИСО 31000:2010, а именно, «Риск – менеджмент – это скоординированные действия по управлению организацией с учетом риска». Таким образом, менеджмент рисков – это не самоцель, а инструментарий, способствующий достижению целей. Для улучшения своей деятельности в организации важно «правильно сформировать риск-ориентированное мышление» руководителей и персонала, а также определить правила взаимодействия между службами. Настоящий риск-менеджмент реализуется не в кабинете риск-менеджера или аудитора, а в местах принятия управляющих решений: в кабинете директора, на плато рабочей группы проекта, в отделе разработок, в производственном цехе и т.п. И роль специалиста по управлению рисками в данном случае выглядит иной. Риск-менеджер должен стать наставником для коллег при освоении ими новых компетенций и инструментов риск-менеджмента, быть помощником для руководителей по сбору и анализу информации, способствующей принятию информированных управленческих решений.
Третьей важной идей современного риск-менеджмента является необходимость формирования культуры управления рисками в организации и новой парадигмы мышления сотрудников. В этом компоненте главную роль играют принципы риск-менеджмента, сформулированные в ГОСТ Р ИСО 3100-2010, которые должны стать составной частью принципов и ценностей организации.
Каждый владелец процесса (функции, проекта) должен правильно понимать свою роль и ответственность, так как именно он является владельцем рисков, сопряженных с выполнением закрепленных обязанностей и достижения поставленных целей и задач. Процессы в организации взаимосвязаны, поэтому владельцы процессов должны иметь знания, ресурсы, информацию, каналы коммуникаций и время для выявления и оценки рисков, выполнения необходимых действий по управлению ими. Этот компонент, обеспечивающий функционирование риск-менеджмента в масштабе всей организации, в ГОСТ Р ИСО 3100-2010 называется инфраструктурой риск-менеджмента.
Выявление и фиксация потенциальных возможностей и угроз, открытое их обсуждение, разработка мер реагирования и их реализация в виде уточнения решений и планов практических действий называется процессом риск-менеджмента. Реализация процесса риск-менеджмента на местах, является наиболее трудным делом. За академической простотой процесса - риски нужно увидеть, оценить, а затем что-то с ними сделать – всегда кроются вопросы личной мотивации, привычки и образ мышления человека, устоявшиеся механизмы выработки и принятия решений. Поэтому, кроме компетенций по оценки рисков, риск-менеджеру, да и вообще каждому управленцу, необходимы знания в области практической психологии и навыки деловых коммуникаций.
Существуют общие рекомендации по формированию культуры управления рисками и внедрению риск-менеджмента в систему менеджмента организации. Они базируются на общепринятых принципах проектного и процессного управления. Здесь важнейшую роль играет поддержка высшего руководства и, как говорится, «тон сверху». Формирование инфраструктуры риск-менеджмента в организации – это всегда проект. В организации должна появиться команда риск-менеджеров, которые возьмут на себя функции лидеров преобразований и на начальном этапе, сформируют основные элементы инфраструктуры, помогут своим руководителям принимать «риск-ориентированные решения», будут обучать коллег, готовить промежуточную отчетность о рисках, тем самым удовлетворять запросы надзорных и аудиторских органов и накапливать знания организации. Дальнейшее внедрение риск-менеджмента должно осуществляться в связке риск-менеджера и владельца процесса посредством грамотного подбора инструментов и процедур управления рисками и их адекватного встраивания в существующий бизнес-процесс.
Непрерывное совершенствование системы менеджмента является стратегическим решением руководства ПАО «ОДК-Сатурн». В настоящее время на предприятии реализуется проект «Управление рисками», который является составной частью программы «Совершенствование СМК ПАО «ОДК-Сатурн» с учетом требований новых редакций стандартов EN 9100:2015, AS 9100D» и направлен на поэтапное внедрение риск-менеджмента во все сферы деятельности организации.
При подготовке статьи были использованы материалы с интернет ресурсов: www.g31000.org, www.risk-academy.ru, www.isar.institute
Первые попытки осмысления понятия «риск» появились одновременно с увлечением человечества азартными играми. В середине XVI века в книге «Об играх и шансах» итальянский математик Джероламо Кардано впервые сформулировал общее определение понятия «вероятность». Именно прогнозирование выигрыша при бросании игральных костей помогло исследователю вывести первые вероятностные закономерности, а также сформулировать и доказать первые теоремы сложения и умножения вероятностей. Эти теоремы позднее были приведены в книге Христиана Гюйгенса «О расчетах в азартной игре». Дальнейшее развитие теории вероятности продолжилось в научных трудах математиков XVIII века Абрахама де Муавра и Якоба Бернулли, которые подробно описали такие статистические понятия, как математическое ожидание, среднее квадратичное отклонение, нормальное распределение.
В ХХ веке важнейшим событием в области знаний о рисках стало появление в 1950-х гг. портфельной теории Гарри Маковица, суть которой заключалась в поиске оптимальной структуры портфеля ценных бумаг исходя из соотношения риска и доходности. В продолжение этой теории в 1960 году Уильямом Шарпом была создана модель оценки доходности финансовых активов – Capital Asset Price Model (CAPM), за что позднее он был удостоен Нобелевской премии. В 1990-е гг., также в США, была разработана система количественной оценки рисков «RiskMetrics», в основе которой лежит концепция Value-at-Risk (величина под риском), опубликованная в одном из отчетов банка J.P.Morgan.
Стандартизация в области управления рисками началась в 1990-х годах и развивалась тремя материковыми школами. В США, после серии финансовых скандалов, в 2004 году был выпущен стандарт COSO ERM, суть которого заключается в позиционировании риск-менеджмента как расширенной функции внутреннего контроля. В Австралии стандарт по управлению рисками появился в 1995 году и был обновлен в 2004 году. В 2002 году Федерацией Европейских Ассоциацией Риск-Менеджмента (FERMA) был выпущен «Risk management standard». Европейский и австралийский подходы практически совпадают и рассматривают риск-менеджмент как центральную часть стратегического управления организацией.
Позднее, в 2009 году, Международная организация по стандартизации (ISO) разработала семейство стандартов ISO31000, который заменил множество существующих разрозненных документов, став общепризнанной парадигмой управления рисками во всем мире.
Рисунок 1. Хронология зарождения понятия о риске и развития риск-менеджмента
Стандарт ISO 31000:2009 «Risk management - Principles and guidelines» разработан Global Institute for Risk Management Standards (G31000), международной организацией, которая устанавливает стандарты качества в области управления рисками и специализируется на обучении и сертификации в области корпоративного риск-менеджмента. Стандарт ISO31000:2009 разработан специалистами и экспертами в области управления рисками 63 стран мира, действующими или бывшими членами технического комитета ISO TC262. В начале 2018 года планируется публикация обновленного стандарта. Обучение и сертификация проводятся в более чем 100 странах мира на английском, французском, испанском, португальском, русском и китайском языках.
G31000 предлагает три ступени международной персональной сертификации в области управления рисками.
Первая ступень – сертифицированный профессионал С31000 (Сertified ISO 31000 Risk management professional) – сертификация руководителей и специалистов, направленная на развитие и подтверждение навыков риск-ориентированного управления, принятия решений с учетом рисков, количественной оценки рисков и культуры управления рисками. Российским аналогом является сертификация на соответствие профессиональному стандарту «Специалист по управлению рисками».
Вторая ступень – одобренный тренер AT31000 (Approved ISO 31000 Risk management Trainer) – сертификация направлена на подготовку консультантов бизнес-тренеров, обучающих сотрудников управлению рисками, в том числе для будущей сертификации С31000.
Третья, высшая ступень – сертифицированный тренер СT31000 (Certified ISO 31000 Risk management Trainer) – сертификат, подтверждающий высочайший профессионализм консультанта и бизнес-тренера в области риск-менеджмента.
В России и странах СНГ обучение и международную сертификацию осуществляет Институт стратегического анализа рисков управленческих решений (ИСАР, г. Москва). Российская программа полностью соответствует международному стандарту ISO31000 и состоит из четырех модулей: 1) основы управления рисками и стандарты; 2) процесс управления рисками при принятии решений; 3) психология и культура управления рисками; 4) внедрение управления рисками на предприятии.
