2011

Архив

Система риск-менеджмента на основе международного стандарта исо 31000

Ербол Есмуханов,
кандидат технических наук, аудитор IRCA


Для современной эпохи характерен рост неопределенности касательно будущего. Последний мировой экономический кризис затронул практически все экономики на всех континентах. Прогнозы касательно выхода из этого кризиса обычно не сбываются. Не работает также и классическая модель по управлению кризисами, заключающаяся в накачивании экономики деньгами.

Растет безработица и государственные долги. Это все происходит на фоне роста социальных проблем во многих странах мира, включая развивающиеся и развитые. Бунт молодежи летом 2011 года в Англии тому яркий пример. Многие страны арабского мира переживают революции, которые свергают правящие десятилетиями режимы.
Отчасти эти события связаны с экологическими проблемами, которые приводят к резкому удорожанию продовольствия. Экология за последние годы выросла в глобальную общечеловеческую проблему. Нерегулируемый рост населения, потепление климата и засухи, истощение природных ресурсов, загрязнение вод и новые пандемии угрожают самому существованию человечества.

Как никогда ранее мировой рынок наводнен разного рода мошенниками и недобросовестными поставщиками. Поставки некондиционной продукции приняли небывалый масштаб


Есть и положительные новости – прогресс науки и технологий не останавливается. Меняется характер труда. Если раньше людей использовали преимущественно для тяжелой работы на производстве, сейчас все больше требуются люди интеллектуального труда. Например, врачи, учителя, инженеры, ученые, менеджеры, экономисты, юристы, деятели культуры и средств массовой информации, дизайнеры и архитекторы. Такое смещение от труда, преимущественно физического, к труду, преимущественно интеллектуальному, характеризуют новую информационную эпоху. Кроме того, растет стоимость нематериальных активов относительно материальных. Если раньше самым ценным были здания, машины, оборудование и материалы, то сейчас дороже стоит то, что не имеет своей физической сущности, так называемые нематериальные активы. Например, имидж, база потребителей, know-haw, информация, технологии, разработки и т. п.
Но у нематериальных активов есть свой существенный недостаток – их могут украсть или утратить. Те же технические средства новой информационной эпохи используются и для криминальных целей. Прежде всего, это Интернет, новейшие средства телекоммуникаций и обработки данных. Результаты в виде нематериальных активов, достигнутые значительными усилиями и инвестициями, могут быть легко скопированы, переданы и использованы конкурентами или злоумышленниками. Кроме того могут быть подкуплены или переманены специалисты, владеющие ценными знаниями и навыками.
Как никогда ранее мировой рынок наводнен разного рода мошенниками и недобросо-вестными поставщиками. Их цель не качество или взаимовыгодное партнерство, их цель - выманивание денег любыми средствами, включая криминальные. Поставки некондиционной продукции приняли небывалый масштаб. Не неся затрат на качестве, безопасности и сервисе, производители и дистрибьюторы контрафактной продукции получают огромные доходы. Создаются даже фирмы с целью проведения мошеннических операций, часто играющие на неосведомленности и доверчивости своих жертв.
Мы не можем не видеть всю сложность, а главное – неопределенность среды. Эта неопределенность может оказать решающие влияние на успех организации. Такое влияние называют риском. Но простое примирение с риском – не является вариантом для организации, претендующей на успех. Необходимо действовать, причем осознанно и расчетливо на основе достоверных фактов, т.е. управлять риском.
Управлением риском занимались и раньше. В древности риски управлялись предсказателями, которые разными методами, на картах или игральных костях, брались разрешить неопределенность предстоящего мероприятия, сражения или хода событий. Другой подход состоял в приношении жертв богам, нередко человеческих. Каждая битва или дальнее морское путешествие предварялось гаданиями или жертвоприношениями. Но такие методы сегодня полностью себя изжили.

Мы не можем не видеть всю сложность, а главное – неопределенность среды. Эта неопределенность может оказать решающие влияние на успех организации. Такое влияние называют риском. Но риском необходимо управлять


В практике современных организаций риски управляются в соответствии со стоящими задачами. Например, риски в области безопасности и здоровья на производстве, в области экологии, в области информационной безопасности, в области финансовой безопасности, в области безопасности цепи поставок, в области безопасности продукции и так далее. В таких организациях как банки, управление рисками занимает ключевую позицию, потому что выдача кредитов или покупка ценных бумаг всегда связана с рисками. Обычно в банках имеются системы риск-менеджмента.
Но, тем не менее, редко можно увидеть организацию, которая управляет комплексно всеми своими рисками, несмотря на то, что риски от разных аспектов деятельности оказывают существенное воздействие друг на друга. Например, экологическая катастрофа в Мексиканском заливе для BP обернулась серьезным финансовым риском вплоть до возможного банкротства. Массовые невыплаты по ипотекам обернулись банкротством банка Lehman Brothers в 2008 году, что в свою очередь вызвало цепную реакцию банкротств по всему миру, например, дефолт Dubai World в конце 2009 года. Банкротства привели к безработице и нарастанию социальных проблем, обернувшиеся массовыми беспорядками в ряде стран мира.
Комплексная система риск-менеджмента должна исходить из анализа внешней и внутренней среды, в которой она будет функционировать. Внешняя среда в отличие от внутренней обычно находится вне зоны ответственности организации и включает, например:
• экологию;
• культурную среду;
• социальную среду;
• политику;
• финансовые рынки;
• технологии;
• экономику;
• конкурентную среду;
• заинтересованные стороны;
• движущие силы и тенденции;
• законы и нормативные акты.
Внутренняя среда зависит от самой организации и может включать следующие эле-менты:
• руководящий состав;
• роли и подотчетность;
• должностные обязанности;
• политики, цели и стратегии;
• стандарты, руководства, процедуры;
• процессы принятия решений;
• организационную среду и культуру;
• информационные системы и потоки;
• ресурсы (капитал, время, люди, процессы, системы, технологии);
• внутренние заинтересованные стороны.

Редко можно увидеть организацию, которая управляет комплексно всеми своими рисками, несмотря на то, что риски от разных аспектов деятельности оказывают существенное воздействие друг на друга


В результате анализа необходимо определить значимые для риск-менеджмента пара-метры внешней и внутренней среды и области применения риск-менеджмента. При определе-нии области применения риск-менеджмента организация должна учитывать значимость для нее успеха конкретных участков, проектов, процессов, видов деятельности или продукции. С экономической точки зрения применение тотальной системы риск-менеджмента, охватываю-щую всю организацию целиком, может оказаться нецелесообразным. Например, вспомогательные процессы могут иметь не критическое значение и потому внедрение там риск-менеджмента не даст значимых результатов.
На основе полученных параметров и определенной области необходимо разработать политику риск-менеджмента, т.е. определить намерения (обязательства) и направления (цели) деятельности в области риск-менеджмента. Обычно политика риск-менеджмента включает:
• обоснование риск-менеджмента и область ее применения;
• связи политики риск-менеджмента с общей политикой организации;
• подотчетность и ответственность по риск-менеджменту;
• способ разрешения конфликтов;
• обязательства по ресурсам риск-менеджмента;
• способы измерения и отчетности риск-менеджмента;
• процедуру анализа и улучшение самой политики риск-менеджмента, которая может быть плановой и внеплановой.
Важной частью риск-менеджмента будет установление ответственности, полномочий и необходимой компетентности по риск-менеджменту. Обычная практика установления ответственности включает идентификацию так называемого владельца риска – подразделения или должностного лица, ответственного за управление риском. Ответственность по риск-менеджменту охватывает этапы разработки, внедрения и поддержания на всех уровнях, включая внедрение системы показателей, внутренней и внешней отчетности. Ответственность должна быть подкреплена процедурами карьерного роста, вознаграждения и признания заслуг.
На основе определенной политики, риск-менеджмет должен быть интегрирован внутрь процессов и практик организации, т.е. стать составной частью выполняемой ежедневно работы. Для этого необходимо разработать план интеграции риск-менеджмента внутрь процессов организации, который должен определить: поход, компоненты и ресурсы управления риском. Такой план может быть частью стратегического или иного плана организации.
Часто успех проекта зависит от выделенных для ее реализации ресурсов. Для риск-менеджмента необходимы ресурсы, прежде всего, это обученные люди, обеспеченные информационными и нормативными материалами, а также наделенные ответственностью и полномочиями. Также ответственные люди по риск-менеджменту должны быть обеспечены механизмами информирования и подотчетности, включая информирование по рискам и конфиденциальность.
Внедрение риск-менеджмента во многом зависит от выбранной стратегии и установленных сроков. Для больших организаций, возможно, потребуется разбить весь проект на несколько этапов: от пилотного до всеобщего внедрения. При внедрении необходимо также об-ратить самое серьезное внимание на вопросы обучения и внутреннего информирования.
Внедренная система риск-менеджмента должна регулярно подвергаться мониторингу и анализу отклонений от показателей риск-менеджмента, прогресса в реализации планов риск-менеджмента, выявлению расхождений с внутренней и внешней средой, результативности и эффективности риск-менеджмента, а также отчетности риск-менеджмента. На основе полученных результатов система риск-менеджмента должна постоянно улучшаться.
Несомненно, что внедрение систем риск-менеджмента не простая задача. К счастью, опубликован новейший международный стандарт ИСО 31000:2009 «Риск менеджмент - Принципы и руководящие указания», представляющий из себя новое мощное руководство по созданию комплексной системы риск-менеджмента. Этот стандарт применим к любой организации, любого размера и формы собственности.
Согласно рассматриваемого стандарта система риск-менеджмента включает: принципы, концепцию и процесс риск-менеджмента, как показано на рисунке 1.

Система риск-менеджмента на основе международного стандарта исо 31000

Рисунок 1. Система риск-менеджмента по ИСО 31000

Такая модель риск-менеджмента создана специально для интеграции с большинством известных международных стандартов, например:
• ИСО 9001:2008 «Системы менеджмента качества. Требования»;
• ИСО 14001:2004 «Системы экологического менеджмента. Требования и руководство по применению»;
• OHSAS 18001:2007 «Системы менеджмента здоровья и безопасности на производстве. Требования»;
• ИСО 22000:2005 «Системы менеджмента безопасности пищевой продукции. Требования к любым организациям в продуктовой цепи»;
• ИСО/IEC 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности - Требования»;
• ИСО 13485:2003 «Медицинские изделия - Система менеджмента качества – Требования для целей регулирования»;
• ИСО/IEC 20000:2005 «Информационные технологии. Управление услугой. Части 1 и 2. Спецификация»;
• ISO/DIS 26000:2010 «Руководство по социальной ответственности»;
• ИСО 28000:2007 «Системы менеджмента безопасности цепи поставок. Технические условия»;
• ИСО/ТУ 29001:2010 «Нефтяные, нефтехимические и газовые отрасли промышленности. Отраслевые системы менеджмента качества. Требования к организациям поставщикам продукции и услуг».

Стандарт ИСО 31000 предоставляет общий подход к любым отраслям, любым потребностям, любому контексту и любым критериям для оценки риска


Необходимо отметить, что стандарт ИСО 31000 предоставляет общий подход к любым отраслям, любым видам рисков, любым потребностям, любому контексту и любым критериям для оценки риска. Это обеспечивает необходимую результативность и эффективность, последовательность и системность, прозрачность и согласованность. В целом ИСО 31000 гибок касательно разнообразных подходов к системе риск-менеджмента, включая возможность относительно безболезненной адаптации существующих в организации наработок в данном направлении.
Отметим, что в целом стандарт ИСО 31000 достаточно сложен для самостоятельного изучения и применения, потому мы рекомендуем выбрать консалтинговую организацию с целью получения необходимой методической помощи и обучения. При выборе консалтинговой организации необходимо учитывать такие показатели, как: опыт работы, наличие международных сертификатов на системы менеджмента, членство в международных организациях и компетентность консультантов. Компетентность консультантов организации, прежде всего, демонстрируется успешными проектами. Несомненным лидером на рынке консалтинговых услуг Казахстана по внедрению международных стандартов является Казахстанская организация качества, которая имеет опыт более 500 успешных проектов. Причем имеются успешные внедрения наряду с внедрением международных стандартов и признанных практик и методов.

Казахстанская организация качества организует большое количество бизнес семинаров, включая популярные практики и методики как для специалистов, так и для высшего руководства. Эти семинары посетили более 40 000 слушателей из всех регионов Казахстана. Темы и программы семинаров постоянно совершенствуются, например, проводятся семинары по новым темам и новым практикам, стандартам и методам.
За справками можете обратиться
в Казахстанскую организацию качества
по телефонам:
8 (727)260-74-47, 260-87-68, 260-87-69
или e-mail: kok@kok.kz.