Отражение риск-менеджмента в различных сферах деятельности организаций

Риск-ориентированный подход применяется в различных сферах деятельности организации, и современные стандарты указывают на необходимость его применения как в традиционных технических системах, экологическом, проектном менеджменте и др., так и в ранее неприменяемых темах, например, таких как проведение аудитов систем менеджмента.

Необходимо разделять два направления риск-менеджмента: управление рисками в технических системах и управление рисками по процессам в системах менеджмента. В данной статье рассматривается нормативная база по управлению рисками в процессах деятельности организации.

Таким образом, целью статьи является определение подхода – как стандарты на управленческую деятельность в разных ее аспектах, нормируют управление рисками, а также анализ и выявление общего и частного в этих рекомендациях.

Управление рисками является важнейшей частью в решении задач устойчивого развития любой организации, которое позволяет достигнуть более высоких результатов работы, но каким способом будет достигнута эта цель, руководство решает самостоятельно: отражением риск-ориентированного подхода в менеджменте организации или разработкой более обширной методологии менеджмента риска, например, за счет применения других руководящих указаний или стандартов [1, c.42].

В том случае, когда организация решает направить свои силы на создание расширенной модели управления рисками, одной из главных задач становится – создание «ядра» по менеджменту рисков, с использованием рекомендаций по управлению рисками в определенных сферах деятельности организации. 

Общая идеология риск-ориентированного подхода отражена в ведущем стандарте по управлению рисками ISO 31000 (Менеджмент риска. Принципы и руководство). Данный документ должен стать настольной книгой для инженеров, занятых в сфере управления качеством, потому что данный стандарт устанавливает принципы и общее руководство, а также содержит базу для эффективного внедрения риск-менеджмента.

В дополнение к данному руководству разработан IEC 31010 (Менеджмент риска. Методы оценки риска), который содержит рекомендации по выбору и применению методов оценки риска. Данные стандарты используются в тандеме для создания эффективной модели управления рисками с использованием методов, признанных на международном уровне.

Первая редакция IEC 31010 вышла в 2009 году как дополнение к ISO 31000. В 2018 году вышла новая версия стандарта ISO 31000:2018, который теперь дополнен современной версией IEC 31010:2019. Официальный перевод и публикация данных версий на данный момент не доступны.

В стандарте ISO 31000 представлена общая схема процесса менеджмента рисков, включающая в себя определение области применения, идентификацию опасности, анализ, оценивание и снижение риска, обмен информацией и проведение консультаций, мониторинг и пересмотр. Подробная схема риск-менеджмента, содержащая основные элементы, представлена на рисунке 1.  

Рисунок 1. Общая схема риск-менеджмента

Деятельность по управлению рисками в различных сферах основывается на принципе, представленном на схеме (рисунок 1). Этап «Определение ситуации» включает в себя оценку и понимание контекста организации, т.к. он может значительным образом влиять на разработку инфраструктуры менеджмента рисков. Цель этапа «Идентификации риска» заключается в составлении всеобъемлющего перечня рисков, основанных на событиях, которые могут влиять на достижение целей.  «Анализ риска» включает рассмотрение причин и источников риска, их последствий и вероятность того, что эти последствия могут произойти. Цель «Оценивания риска» заключается в способствовании принятию решений, основанных на исходных результатах анализа риска, относительно необходимости воздействия и установления приоритета на риск. В свою очередь, на этапе «Воздействия риска» устанавливаются и изменяются средства управления. Планируемой частью процесса риск-менеджмента, включающую регулярную проверку и надзор, является этап «Мониторинг и пересмотр». «Обмен информацией и консультирование» с заинтересованными сторонами осуществляются на всех этапах процесса риск-менеджмента [2].

Каждый из стандартов, выступающий в качестве рекомендаций по управлению рисками в той или иной области, описывает характерные особенности риск-менеджмента этой области.  Такая специфика, определенная сферой деятельности, появляется на этапе оценивания риска. Так, например, стандарт по оценке риска в области экологического менеджмента – ГОСТ Р 14.09-2005 «Экологический менеджмент. Руководство по оценке риска в области экологического менеджмента» представляет базовые элементы процесса оценивания негативного влияния воздействующего фактора на экосистему и ее компоненты. Оценка экологического риска включает в себя определение характера риска: реальный или потенциальный, идентификацию загрязнений на участке, который подвержен экологическому риску, и получение данных, которые могут быть использованы для определения показателей уровней очищения.

Схема процесса оценки и уменьшения экологического риска схожа с общей схемой, описанной выше, но имеет свои отличительные особенности. Схема управления экологическими рисками представлена на рисунке 2.

Рисунок 2. Схема процесса управления экологическими рисками

На стадиях формулирования проблемы и предварительной оценки воздействия разрабатывается так называемая концептуальная модель – модель, описывающая действия стрессора на экологические компоненты объекта. После чего начинается работа над определением измеримого показателя объекта, связанного с характеристикой воздействия загрязнения, выбранного в качестве конечной точки – конечная точка измерения (КТИ). Далее следуют этапы проверки проекта отбора проб, исследование участка и анализ данных, и только после этого, завершается стандартными действиями – окончательной оценкой риска и выбором корректирующих действий.

Управление экологическими рисками по данной модели обеспечит детальную проработку потенциальных опасностей негативных воздействий. Продукция или процесс не могут быть абсолютно безопасными, так как всегда существует остаточный риск, но при грамотном управлении, можно своевременно выявить и снизить негативное влияние опасностей [3].

Интересный подход к управлению рисками в проектной деятельности на основе требований ISO 31000, представлен в стандарте ГОСТ Р МЭК 62198-2015 Проектный менеджмент. Руководство по применению менеджмента риска при проектировании. Как и в других отраслевых стандартах по риск-менеджменту, характерные особенности, присущие проектному менеджменту, проявляются на стадии оценки риска. Так, например, результативность риск-менеджмента проекта в основном зависит от идентификации риска, поэтому идентификация должна быть систематической и включать обработку рисков на все цели проекта. При анализе риска необходимо рассматривать причины, источники риска и их последствий для достижения целей проекта, а также необходимо учитывать существующие средства контроля и методы управления проекта, их результативность и эффективность. Стандарт регламентирует необходимость разработки плана менеджмента риска проекта, который должен включать структуру, процессы, область применения, процедуры, формы и другие документы менеджмента риска проекта, с целью выполнения и контроля процесса менеджмента риска при переходе с одной стадии проекта к другой [4].

Требования о необходимости проведения внутреннего аудита есть во многих стандартах на системы менеджмента. У внутреннего аудита два основных направления: оценка соответствия и поиск областей для улучшения. При проведении внутреннего аудита необходимо осуществлять оценку фактических и потенциальных несоответствий, которые, в свою очередь, выявить затруднительно, если не применять методологию оценки рисков. Аудиторы должны знать и применять в своей практической деятельности методики оценки рисков, которых на данный момент множество, но большая часть из них основана на оценке вероятности возникновения и тяжести последствий от возможного нежелательного события.

Риск-ориентированное мышление необходимо для достижения результативности системы менеджмента и в таком случае риск-ориентированный аудит имеет следующий порядок: владелец процесса выявляет потенциальные несоответствия, оценивает риски, планирует и осуществляет действия в целях снижения рисков. Задача аудитора при поведении риск-ориентированного аудита – найти ответы на вопросы: учтены ли возможные потенциальные несоответствия, достаточно ли мероприятий для снижения риска и другие [5].

Стандарт, регламентирующий порядок проведения аудитов систем менеджмента – ISO 19011:2011, не требует разработки документированного процесса менеджмента рисков. Здесь, как и в целом при отражении риск-ориентированного подхода, руководство организации самостоятельно принимает решение по разработке более обширной методологии управления рисками на основе стандарта ISO 31000. При использовании общего порядка управления рисками, специфику процесса аудита можно обнаружить уже на этапе идентификации риска. Так как при риск-ориентированном аудите, аудитор должен определить: существует ли вероятность возникновения несоответствия в случае продолжения осуществления деятельности.

Например, при проведении аудита процесса оценки удовлетворенности потребителей, аудитором было выявлено, что деятельность осуществляется в соответствии с нормативной документацией – полученные анкеты с обратной связью регистрируются, а результаты предоставляются для ежегодного проведения анализа СМК со стороны руководства.

Но аудитором может быть выявлено, что при получении анкет, результаты остаются без анализа до тех пор, пока не придет время проведения анализа функционирования СМК. А это значит, что существует вероятность потери потребителя в следствие игнорирования негативных оценок, например, по качеству обслуживания.

Аудитору необходимо зафиксировать такое потенциальное несоответствие и при планировании аудита процесса анализа требований потребителей, уделить должное внимание порядку обслуживания клиентов.

Далее, следуя стандартному порядку управления риском, на последующих этапах берется во внимание риски появления потенциальных несоответствий, которые подвергаются рассмотрению с точки зрения возникновения последствий, устанавливается их значимость и влияние, а также определяется возможное воздействие.

Все стандарты по управлению рисками в различных сферах деятельности имею общую структуру: от определения контекста до проведения корректирующих действий.

Но отраслевые стандарты по риск-менеджменту имеют свои характерные особенности, присущие конкретной области деятельности, которые появляются на различных стадиях управления риском, и которые необходимо учитывать при создании эффективной модели менеджмента риска в организации (таблица 1).

Таблица 1.

Сравнительный анализ требований в различных сферах деятельности организаций по этапам риск-менеджмента

Таким образом, если в организации внедрена и эффективно функционирует интегрированная система менеджмента, то разработку обширной методологии менеджмента риска следует начать с создания общего стандарта по управлению рисками в организации, опираясь на стандарты ISO 31000 и IEC 31010, а затем, по необходимости, разработать для каждой области деятельности свой стандарт, отражающий специфику риск-менеджмента данного направления.