Стандарты COSO и FERMA. В документе «Управление рисками организаций. Интегрированная модель», разработанном Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission - COSO) , приводятся основания для разработки концепций построения СУР и рекомендации для реализации рациональной процедуры ее создания.

Однако отечественная некоммерческая организация «РусРиск» рекомендует и стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA), созданный в 2002 г. Институтом риск-менеджмента (IRM), Ассоциацией риск- менеджмента и страхования (AIRMIC) и Национальным форумом по риск-менеджменту в общественном секторе.

На рис. 5.2 и 5.3 представлены процессы риск-менеджмента в стандартах COSO и FERMA.

Рис. 5.2.

Рис. 5.3.

Стандарт FERMA опирается на терминологию Международной организации по стандартизации (Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения»). Так, в отличие от стандартов отдельных стран стандарт FERMA определяет риск как «комбинацию вероятности события и его последствий», что является ограничением документа. В то же время СУР в стандарте FERMA ставится в центр системы управления стратегией, а в качестве важнейших называются стратегические, операционные и финансовые риски и опасности.

В стандарте FERMA также содержатся:

• ? сжатое описание основных элементов процедуры управления риском с учетом зависимости содержания информации от типа ее получателя;
• ? перечень подразделений организации, участвующих в работе СУР, и главные требования к формированию документации, сопровождающей управление риском.

Стандарт FERMA целесообразно использовать в корпорациях, в большей мере задействованных в производственной сфере, или, говоря экономическим языком, в реальном секторе экономики.

• ? риск - это комбинация вероятности события и его последствий;
• ? опора на системный подход;
• ? оптимизация процедур управления риском на основе анализа процессов, происходящих в бизнесе, контента, благоприятных и неблагопрятных факторов;
• ? эффективное управление капиталом и ресурсами;
• ? понижение уровня неопределенности влияния факторов;
• ? соблюдение интересов собственников и улучшение имиджа организации;
• ? повышение квалификации работников и создание организационной базы знаний;
• ? оптимизация бизнес-процессов.

Стандарты COSO предназначены в большей мере для приложения в корпоративных структурах, активно участвующих в биржевой торговле.

В соответствии с данным стандартом СУР основывается на следующих положениях :

• ? оценка риск-аппетита, обусловленная стратегическими целями организации;
• ? улучшение процедур формирования адекватных действий по отношению к рискам;
• ? понижение уровня неопределенности среды;
• ? выявление максимального перечня рисков и воздействие на них;
• ? выявление благоприятных факторов и реализация предоставленных шансов;
• ? эффективное управление капиталом.

Сравнение эволюции содержания стандартов (например, австралийского, американского) показывает их постепенный переход к более обобщенной форме с выделением ключевых стадий процесса регулирования факторов риска. Кроме того, развитие стандартов риск-менеджмента, в том числе их модернизация и дополнение в отдельных странах, свидетельствует о том, что эти процессы не могут закончиться, так как постоянно меняется контекст бизнеса и возникают новые опасности, угрозы и риски.

Новые международные стандарты. Разработка международных стандартов продолжается. Единообразие терминов обеспечивает Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения» (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for use in standards»), вышедшее в 2002 г.

В 2009 г. Международная организация по стандартизации опубликовала Стандарт ИСО 31000 «Риск-менеджмент. Принципы и руководства по применению» (Risk Management. Principles and guidelines on implementation) . Созданы также стандарты для отдельных видов деятельности (нефтегазовой, производства медицинского оборудования и проч.) .

Стандарт ИСО 31000 разрабатывался на базе уже упоминавшегося австралийско-новозеландского стандарта. Процесс управления рисками в стандарте ИСО представлен на рис. 5.4. Как следует из рис. 5.1 и 5.4, схемы процессов риск-менеджмента в стандарте ИСО и австралийско-новозеландском стандарте очень похожи. Однако кроме отличий в интерпретации похожих по названию элементов для стандарта ИСО характерна одновременная реализация процессов идентификации, анализа и оценки рисков, что не предусмотрено в австралийско-новозеландском стандарте.

Установление контекста предполагает анализ внешней и внутренней среды организации, а именно:

• ? установление внешнего контекста - оценка связей с внешней средой и внешних угроз;
• ? установление внутреннего контекста - определение элементов системы, представляющей организацию, внутренних связей, ресурсного обеспечения, целевых и стратегических установок;
• ? установление контекста менеджмента риска - выделение процессов, на которые СУР может повлиять;
• ? выявление критериев риска, по которым определяется необходимость воздействия на него и которые могут принадлежать к сфере организации бизнеса, технологий, права, экономики, социальных и экологических вопросов и т.д., отражать отношение причастных лиц к риску, положения нормативных ак-

Рис. 5.4.

тов. К таким критериям, в частности, относятся результаты оценки реализации рисковых факторов;

Описание системы управления обрабатываемым риском в разрезе подразделений.

В ходе оценки рисков параллельно реализуются также следующие процессы:

• ? идентификация рисков - устанавливаются вероятные источники рисковых факторов и оцениваются результаты их реализации;
• ? анализ риска - устанавливаются вероятности и результаты реализации рисковых факторов. Может осуществляться качественный или количественный анализ или анализ с использованием комбинированных методов;
• ? оценивание риска - по результатам анализа риска в процессе оценивания по критериям риска выявляется риск, на который может быть оказано воздействие.

• ? обработка риска - выбирается рациональная процедура воздействия на риск, составляется и реализуется план воздействия, оценивается и описывается остаточный риск. При планировании обработки определяются: содержание процедуры воздействия и требуемые ресурсы, распределение прав и обязанностей, эффективность процедуры, содержание отчетной документации и технология мониторинга;
• ? мониторинг и обзор - постоянное документирование всех мероприятий и их последствий.

Процедура комплексного управления риском состоит из нескольких элементов.

• 1. Планирование процедуры управления риском. Данная процедура управления должна быть интегрирована в политику организации, стратегию, управление активами и пассивами, инвестиционный менеджмент, аудит, технологии противодействии криминальным проявлениям и т.д.
• 2. Формирование политики управления риском. Политика должна оформляться документально и содержать описание: целевых установок и технологии управления, соотношения содержания политики и стратегий, процедур воздействия на риск, процедур помощи лицам, участвующим в управлении рискам, процедур измерения и документирования процесса управления, процедур периодического измерения СУР, функций топ-менеджмента по отношению к процессу управления.

В отличие от концепции COSO, где риск-менеджмент представляется как процесс, направленный на определение событий и управление связанным с ними риском, в стандартах ISO риск-менеджмент - это скоординированные действия по управлению и контролю над организацией с учетом риска. Соответственно процесс менеджмента риска представляет собой систематическое применение политик, процедур и практик менеджмента к деятельности по обмену информацией, консультированию, определению контекста и идентификации, анализу, оцениванию, воздействию на риск, мониторингу и пересмотру риска.

Модель СУР, описанная в стандарте (рис. 5.5), предназначена для повышения эффективности управления организацией.

В приложениях к стандарту отмечаются:

• ? необходимость постоянного улучшения процессов управления и коммуникаций;
• ? важность установления ответственности, контроля и практической реализации процедур воздействия на риск;
• ? главенствующая роль управления рисками в структуре организации.

Риск-менеджмент как технология управления за последние 10-15 лет переживает за рубежом и в России период своего активного становления. Особую важность приобретает проблематика формирования единого понимания цели и задач системы риск-менеджмента, применяемой терминологии, организационной структуры и самого процесса риск-менеджмента, адаптированных к современным российским условиям. Мировая практика предлагает один из универсальных подходов к решению данной проблемы – унификация и стандартизация в области управления рисками.

Согласно определению Международной организации по стандартизации (ISO - ИСО), стандарт – нормативный документ, который разработан на основе консенсуса, принят признанным на соответствующем уровне органом и устанавливает для всеобщего и многократного использования правила, общие принципы и характеристики, касающиеся различных видов деятельности или их результатов, и который направлен на достижение оптимальной степени упорядоченности в определенной области. Стандарты должны быть основаны на обобщенных результатах науки, техники и практического опыта и направлены на достижение оптимальной пользы для общества

В последние годы отчетливо проявилась тенденция к тиражированию в ряде стран, в том числе в России, стандартов управления рисками, разработанных впервые 10 – 15 лет назад и касающихся преимущественно техногенных опасных факторов. К их числу следует отнести ГОСТ 27.310-95 «Анализ видов, последствий и критичности отказов», ГОСТ Р 51901-2002 «Управление надежностью. Анализ риска технологических систем», ГОСТ Р 51897‑2002 «Менеджмент риска. Термины и определения», а также ГОСТ ы ИСО/ТО 12100-1 и 2 - 2002 «Безопасность оборудования. Основные понятия, общие принципы конструирования» и другие.

ГОСТ Р 51901.2-2005 Менеджмент риска. Системы менеджмента надежности,

ГОСТ Р 51901.13-2005 Менеджмент риска. Анализ дерева неисправностейи ряд других В течение 5-6 лет было разработано 8 стандартов риск-менеджмента, и эта работа далеко не закончена. В 2009 г. был подготовлен и в августе 2010 г. принят новый стандарт - ISO 31000 «Общие указания по принципам и реализации менеджмента риска».

Повышенное внимание со стороны консультантов в области риск-менеджмента, действующих на российском рынке, уделяется документу «Управление рисками организаций. Интегрированная модель», разработанному Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO)

Русским обществом управления риском кроме рекомендаций COSO в качестве базового рассматривается Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA), который является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002 г.).

Помимо международных стандартов управления рисками, существуют так же национальные стандарты управления рисками, принятые в государствах с англосаксонским правом (Австралии, Новой Зеландии, Японии, Великобритании, ЮАР, Канаде).

Рис. 3 – История стандартизации управления рисками.

Одновременно с национальными стандартами управления появлялись и многочисленные требования регуляторов к построению и совершенствованию процесса управления рисками компаний, связанных с отраслевой спецификой. Среди отраслевых стандартов управления рисками наибольшую известность получили стандарты, затрагивающие деятельность страховых компаний, перестраховочных обществ (Solvency, Solvency II) и банков (Basel, Basel II, Basel III).

Стандартами в области риск-менеджмента предусматривается унификация:

Используемой терминологии в данной области;

Составляющих процесса управления рисками;

Подходов к построению организационной структуры риск-менеджмента.

Однако, несмотря на проведенную внутри каждого стандарта управления рисками, терминологиями унификацию, методы и цели риск-менеджмента в различных стандартах отличаются. На Рис. 3 представлены национальные и международные стандарты, терминология которых минимально различна. При попытке совмещения различных стандартов возможна путаница, так как дефиниция базовых терминов в них различна.

Стандарт «Управление рисками организаций. Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO). Данный документ представляет собой концептуальные основы управления рисками организаций и дает подробные рекомендации по созданию корпоративной системы управления рисками в рамках организации.

Процесс управления рисками организации в интерпретации COSO состоит из восьми взаимосвязанных компонентов:

1) определение внутренней среды;

2) постановка целей;

3) определение (идентификация) рисковых событий;

4) оценка риска;

5) реагирование на риск;

6) средства контроля;

7) информация и коммуникации;

8) мониторинг.

Таким образом, применительно к определению составляющих процесса управления риском рассматриваемый документ следует уже сложившемуся в стандартах по риск-менеджменту пониманию процесса.

Рис. 4 – КУБ COSO.

В мировой практике стандарт, получивший название «Куб COSO» (Рис. 4), устанавливает взаимосвязь между целями организации (стратегические, операционные цели, подготовка отчетности и соблюдение законодательства), организационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и уже обозначенными компонентами процесса управления рисками.

1. Внутренняя среда

Закладывает основы подхода к управлению рисками. Включает:

Совет директоров;

Философию управления рисками;

Риск-аппетит;

Честность и этические ценности;

Важность компетенции;

Организационную структуру;

Делегирование полномочий и распределение ответственности;

Стандарты управления персоналом.

2. Постановка целей

Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение.

Руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню ее риск-аппетита.

3. Оценка рисков

Риски анализируются с учетом вероятности их возникновения и степени влияния с целью определения того, какие действия в отношении них необходимо предпринять.

Риски оцениваются с точки зрения присущего и остаточного риска.

4. Выявление потенциальных событий

Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности.

Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

5. Реагирование на риск

Руководство выбирает метод реагирования на риск:

Уклонение;

Принятие;

Снижение;

Передача.

Разработанные мероприятия позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации.

6. Контрольные процедуры

Политика и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

7. Информация и коммуникация

Необходимая информация определяется, фиксируется и передается в форме и сроки, позволяющие сотрудникам выполнять их обязанности.

Эффективный обмен информацией в рамках организации по вертикали и горизонтали.

8. Мониторинг

Весь процесс управления рисками организации отслеживается и по необходимости корректируется.

Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA) является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM)(2002).

В отличие от рассмотренного выше Стандарта COSO ERM в части применяемой терминологии данный стандарт придерживается подхода, принятого в документах Международной организации по стандартизации (Руководство ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in standards). В частности, риск определяется стандартом как «комбинация вероятности события и его последствий» (рис. 4).

Рис. 5 – Процесс управления риском согласно стандартам FERMA.

Риск-менеджмент рассматривается как центральная часть стратегического управления организацией, задачей которой является идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая система управления рисками должна включать в себя программу контроля над выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации.

В соответствие со Стандартом FERMA выделяют четыре группы рисков организации: стратегические, операционные и финансовые, а также риски опасности.

Кроме того, в документе приведены:

1. Краткая характеристика ключевых стадий процесса риск-менеджмента, в рамках которой обращает на себя внимание подробное описание требований к детализации информации в отчетах о рисках в зависимости от потребителя данной информации (среди потребителей внутренних отчетов - совет директоров компании, ее отдельная структурная единица, конкретный сотрудник организации; внешних отчетов - внешние контрагенты организации). В частности, отчет о рисках компании для внешних пользователей информации должен включать описание:

Методов системы внутреннего контроля, а именно характеристику зон ответственности менеджмента организации в вопросах управления рисками;

Способов идентификации рисков и их практического применения в действующей системе управления рисками организации;

Основных инструментов системы внутреннего контроля в отношении наиболее значимых рисков;

Действующих механизмов мониторинга и слежения за рисками.

2. Описание организационной структуры управления риском (совет директоров - структурная единица - риск-менеджер), а также основных требований к разработке нормативных документов в области риск-менеджмента на корпоративном уровне (Программа по управлению риском организации).

В приложении к стандарту даны примеры используемых на практике методов и технологий анализа рисков. Одним из наиболее полных и проработанных национальных стандартов в области управления риском эксперты признают Стандарт по риск-менеджменту Австралии и Новой Зеландии. Стандарт AS/NZS 4360 имеет общий (внеотраслевой) характер, его основные положения адаптированы для построения систем управления риском рядом транснациональных компаний.

Рис. 6 – Процесс управления риском, по стандарту AS/NZS 4360

Согласно Стандарту AS/NZS 4360 управление риском на уровне компании представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного характера (рис. 6). При этом под управлением риском в стандарте понимается «совокупность культуры, процессов и структур, ориентированная на использование потенциальных возможностей при одновременном управлении негативными воздействиями».

Стадия 1. Определение окружения (среды)

Среди факторов, определяющих необходимость анализа и идентификации внутренней среды компании, следует выделить следующие:

Управление риском должно осуществляться в контексте определенных целей и задач организации;

Одним из основных рисков компании является возникновение препятствий в процессе достижения поставленных стратегических, операционных, проектных и прочих целей;

Четкая формулировка принципов организационной политики и целей компании будет способствовать определению основных направлений корпоративной политики в области управления рисками;

Цели и задачи компании по сегментам деятельности, а также целевые ориентиры, формируемые при реализации отдельных корпоративных проектов, должны рассматриваться в соответствии с целями компании как единое целое. В рамках рассматриваемой стадии управления риском также определяют спектр целевых показателей деятельности, составляют перечень элементов стратегии компании, параметров ее функционирования, на которые будут влиять процессы риск-менеджмента, обеспечивают баланс возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента). Также следует определить требуемые ресурсы и учетные процедуры.

Стадия 2. Идентификация рисков

На данной стадии должны быть идентифицированы риски, обусловленные особенностями внешней и внутренней среды, проанализированной на предыдущем этапе: рассматриваются все возможные источники риска, а также имеющаяся информация о восприятии риска (осознание риска) причастными сторонами, как внутренними по отношению к организации, так и внешними. Особые требования предъявляются в отношении качества информации (максимально возможный уровень релевантности, полноты, точности и временного соответствия при имеющихся ресурсах на ее получение) и ее источников. Важно, чтобы персонал, задействованный в идентификации рисков, обладал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обусловливает необходимость участия в данном процессе специальных рабочих групп, составленных из экспертов различного профиля.

Стадия 3. Анализ рисков

Результатом прохождения рассматриваемой стадии является определение уровня риска, отражающего оценки последствий и вероятности рисковых событий. Используют количественный и качественный анализ. Ценность и значение качественного анализа существенным образом повышаются в случае, если определение риска формируется широким кругом причастных сторон.

Стадия 4. Оценивание рисков

Задачей данной стадии является принятие решения о допустимости/недопустимости риска (в отношении допустимого риска не применяются процедуры обработки риска, предусмотренные стадией 5 рассматриваемого процесса управления риском).

Оценка риска предполагает исследование уровней подконтрольности рискового события, затрат на осуществление воздействия, потенциальных издержек и выгод, связанных с рисковым событием. Результаты работы экспертов на данной стадии могут потребовать пересмотра критериев риска, установленных на первой стадии процесса (таким образом, решается задача обеспечения попадания всех значимых рисков в область анализа).

Стадия 5. Обработка риска

На данной стадии осуществляется работа с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопустимости для компании в соответствии с критериями, определенными на начальных стадиях рассматриваемого процесса управления рисками. Альтернативные варианты обработки рисков:

Избежание риска, осуществляемое, либо посредством прекращения деятельности, сопряженной с недопустимым для компании уровнем риска, или выбора других, более приемлемых направлений деятельности, отвечающих задачам организации, либо в ходе избрания альтернативной, менее рисковой методологии в отношении организации рассматриваемого процесса или направления деятельности.

Снижение вероятности реализации рискового события и (или) возможных последствий реализации; важно учитывать, что должен быть найден баланс между уровнем риска и издержками, сопряженными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, одновременно имея высокие издержки реализации, необходимые затраты требуют бюджетирования. Рекомендованные в рамках данной альтернативы процедуры: контроль; улучшение процессов; тренинги и повышение квалификации персонала; аудит и определение соответствия установленным правилам.

Разделение риска с третьими сторонами. Необходимо учитывать, что передающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффективно управлять им.

Удержание риска. Данная альтернатива применяется в отношении остаточных, а также не выявленных рисков.

Заключение

Несмотря на различия в целях и методах управления рисками, каждый стандарт утверждает необходимость непрерывности процессов мониторинга и контроля рисками.

Оценка рисков является неотъемлемой частью управления рисками, который предусматривает структурированный процесс, ставящий целью выявление того, какие цели организации могут быть затронуты рисками. Оценка рисков используется для анализа рисков с точки зрения последствий и их вероятности, до того, как организация примет решение о дальнейших мерах, если это потребуется.

Оценка рисков предоставляет лицам, принимающим решения, а также ответственным сторонам четкое понимание рисков, которые могут повлиять на достижение целей, а также информацию об адекватности и эффективности контроля. Стандарт обеспечивает основу для принятия решения о наиболее целесообразном подходе, он будет использоваться для принятия решения для конкретных рисков, а также выбора между различными вариантами.

Выбор определенного стандарта в качестве основного для предприятия является серьезной задачей, иногда, организация пользуется несколькими стандартами одновременно, что приводит к неопределенностям в процессах управления рисками. Выбор стандарта управления рисками или его сбалансированное расширение требует детального понимания требований каждого стандарта и способов их практического применения (внедрения), а так же, зависит от уровня зрелости как процессов управления рисками, так и процессов управления информационными технологиями организации.

Список использованной литературы.

1. ГОСТ 1.1-2002 «Межгосударственная система стандартизации. Термины и определения».

2. ГОСТ Р 51897 – 2002 «Менеджмент риска. Термины и определения».

3. Управление рисками организаций. Интегрированная модель. Краткое изложение COSO, 2004.

4. Управление рисками организаций. Интегрированная модель // «Риск-менеджмент», №№ 5–6, 7–8, 9–10, 11–12, 2007; 1–2, 2008.

5. Стандарты управления рисками Федерации европейских ассоциаций риск-менеджеров, 2003.

6. Я. Филопулос. Формирование политики и институциональная основа оценки риска в ЕС. Рекомендации по созданию в стране системы оценки риска.

7. AS/NZS 4360:2004 - Risk Management, issued by Standards Australia.121

8. CSA (1997) Risk Management: Guideline for Decision-Makers – A National Standard of Canada / Canadian Standards Association (1997 reaffirmed 2002) CAN/CSA-Q850-97.

9. Draft International Standard ISO/DIS 31000 «Risk management – Principles and guidelines on implementation», ISO, 2008.

10. Kevin W. Knight. Risk Management – a journey, no destination. January, 2006.

11. Kevin W. Knight. Risk Management: an integral component of corporate governance and good management. ISO Bulletin, October 2003.

12. Marc Saner. Information Brief on International Risk Management Standards. Institute On Governance, Canada, 30 November 2005.

13. Enterprise Risk Management – Integrated Framework Executive Summary.-Committee of Sponsoring Organization of the Treadway Commission (COSO), 2004.

14. ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты.

Похожая информация.

В настоящее время в России действует огромное количество государственных стандартов, из которых лишь незначительную долю, менее 1% составляют стандарты, связанные с предпринимательскими рисками, а ведь именно данный вид рисков чрезвычайно важен для любого хозяйствующего субъекта. Мировая практика риск-менеджмента считает стандарт образцом, к которому стоит стремиться. В сфере управления рисками стандартов немного. В то же время корни существующих российских стандартов по управлению рисками, а также огромное число рекомендованных отраслевых практик, идут из-за рубежа, закладывая в основу принципы зарубежной действительности.

Для общего представления о стандартах риск-менеджмента необходимо ознакомиться с некоторыми из них: стандарт «FERMA», некоторые постулаты закона «Сарбейнса-Оксли», стандарт «COSO II» и южно-африканский стандарт – «KING II».

Стандарт по управлению рисками «FERMA» был разработан совместно институтом риск-менеджмента в Великобритании (The Institute of Risk Management), Ассоциацией риск-менеджмента и страхования (The Association of Insurance and Risk Management) и Национальным Форумом риск-менеджмента в Общественном Секторе (The National Forum for Risk Management in the Public Sector) и принят в 2002 году. Схема, заложенная в документе, служит основой для внедрения системы управления рисками. Эти стандарты управления рисками содержат: определение риска, риск-менеджмента, объяснение внутренних и внешних факторов риска, процессов риск-менеджмента, процедуры оценки рисков, методы и технологии анализа рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера. Согласно данному документу риск рассматривается как комбинация вероятности и его события, а риск-менеджмент - в качестве центральной части стратегического управления организации. К примеру, основными функциями специалиста по рискам, согласно стандарту «FERMA», являются разработка и реализация программы управления рисками, координация взаимодействия различных структурных подразделений организации, разработка программ снижения внеплановых потерь и организация мероприятий по поддержанию непрерывности бизнес процессов. Основная идея данного стандарта заключается в том, что принятие стандарта необходимо для достижения согласия по вопросам используемой терминологии, процесса практического применения риск менеджмента, организационной структуры риск-менеджмента, целей риск-менеджмента. Особенно важно понимание того, что риск-менеджмент - это не просто инструмент для коммерческих и общественных организаций, а руководство для любых действий (причем как в краткосрочном, так и в долгосрочном плане).

Один из немногих законодательно утвержденных стандартов в сфере управления рисками является «Закон Сарбейнса-Оксли» (Sarbanes-Oxley Act). Данный закон рассматривает, прежде всего, вопросы внутреннего контроля и достоверности финансовой отчетности, а также косвенно регулирует процесс управления рисками. В законе нет руководящих указаний по разработке конкретных процедур финансового контроля. Стандарт предлагает анализ поступающих данных о ходе процессов и проверку соответствия путем аудита.

В 2001 году Комитет спонсорских организаций Комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission- «COSO») совместно с компанией «PriceWaterHouseCoopers» инициировал проект разработки принципов риск-менеджмента (Enterprise Risk Management - Integrated Framework). В соответствии с разработанными принципами, риск-менеджмент - это процесс, охватывающий всю деятельность предприятия, в котором задействованы сотрудники на различных уровнях управления; инструмент, позволяющий достичь поставленных стратегических целей; технология выявления рисков и управления ими; способ застраховать деятельность предприятия от возможных ошибок менеджмента или совета директоров.

Южноафриканский стандарт «KING II» представляет собой сборник типовых решений в практике риск-менеджмента, постоянно пополняется и служит пособием для обучения риск-менеджеров. В данном стандарте не уделяется внимание определенному специфичному бизнесу и корпоративному управлению, но, в то же время, доступно выражаются идеология процесса и желательные стадии. Таким образом, аккуратная адаптация процедур к специфике конкретной компании может привести к желаемому результату.

Надо сказать, что большая часть проанализированных стандартов - «COSO II», «FERMA» - действуют на основе соглашения их участников. Один из немногих законодательно утвержденных стандартов в сфере управления рисками - это «Закон Сарбейнса-Оксли». Но и этот закон не гарантирует успешности действий и процедур.

Однако существующие зарубежные стандарты построения системы риск-менеджмента, как показывает практика, плохо применимы в Российской реальности, либо применимы частично. Поэтому в Российской Федерации на основе зарубежных были разработаны свои стандарты в области риск-менеджмента, на которых остановимся подробнее.

Стандарты серии 51901 «Менеджмент риска» дают общие указания в области применения риск-менеджмента на предприятии, содержат методику использования различных методов по оценке рисков, учитывая специфику применения того или иного метода при оценке отдельных хозяйственных рисков. Так, ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем» устанавливает руководящие указания по выбору и реализации методов анализа риска, главным образом, для оценки рисков технологических систем; ГОСТ Р 51901.2-2005 «Менеджмент риска. Системы менеджмента надежности» описывает концепции и принципы системы менеджмента надежности, определяет основные процессы этой системы (процессы планирования, разделения ресурсов, управления и адаптации) и задачи надежности на стадиях жизненного цикла продукции, относящиеся к планированию, проектированию, измерению, анализу и совершенствованию; ГОСТ Р 51901.3-2007 «Менеджмент риска. Руководство по менеджменту надежности» устанавливает руководство по менеджменту надежности при проектировании, разработке, оценке продукции и улучшении процессов; ГОСТ Р 51901.4-2005 «Менеджмент риска. Руководство по применению при проектировании» устанавливает общие положения менеджмента риска при проектировании, его подпроцессы и воздействующие факторы; ГОСТ Р 51901.5-2005 «Менеджмент риска. Руководство по применению методов анализа надежности» содержит краткий обзор часто используемых методов анализа надежности, описания основных методов и указаны их преимущества и недостатки, входные данные и другие условия использования; ГОСТ Р 51901.6-2005 «Менеджмент риска. Программа повышения надежности» устанавливает требования и дает рекомендации для устранения слабых мест из аппаратных объектов и программного обеспечения с целью повышения надежности; ГОСТ Р 51901.10-2009 «Менеджмент риска. Процедуры управления пожарным риском на предприятии» содержит основные положения менеджмента пожарного риска и устанавливает основные принципы анализа и интерпретации пожарного риска; ГОСТ Р 51901.11-2005 «Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство» обеспечивает руководство по исследованию опасности и работоспособности систем, использующее набор управляющих слов, определенный в настоящем стандарте, а также дает руководство по применению метода и процедур исследования HAZOP, включая определение, подготовку, проведение экспертизы и оформление заключительной документации; ГОСТ Р 51901.12-2007 «Менеджмент риска. Метод анализа видов и последствий отказов» устанавливает методы анализа видов и последствий отказов видов, последствий и критичности отказов и дает рекомендации по их применению; ГОСТ Р 51901.13-2005 «Менеджмент риска. Анализ дерева неисправностей» устанавливает метод анализа дерева неисправностей и содержит руководство по его применению; ГОСТ Р 51901.14-2007 «Менеджмент риска. Структурная схема надежности и булевы методы» описывает методы построения модели надежности системы и использования этой модели для вычисления показателей ее безотказности и готовности; ГОСТ Р 51901.15-2005 «Менеджмент риска. Применение марковских методов» устанавливает руководство по применению марковских методов анализа надежности; ГОСТ Р 51901.16-2005 «Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки» описывает модели и количественные методы оценки повышения надежности, основанные на данных об отказах системы, полученных в соответствии с программой повышения надежности. Эти процедуры позволяют определять точечные оценки, доверительные интервалы и проверять гипотезы для характеристик повышения надежности системы.

Таким образом, в стандартах серии 51901 «Менеджмент риска» подробно описывается использование различных методов и подходов к оценке и анализу рисков, направленное именно на практическое их внедрение и использование на предприятии. Для наглядности во многих стандартах рассматриваются практические примеры.

Стандарты в области риск-менеджмента серии МЭК, ИСО основаны на переводе международных стандартов, разработанных Международной Электротехнической комиссией, Международной организацией по стандартизации ISO. Основные объекты стандартизации ИСО представлены отраслями: машиностроение, химия, руды и металлы, информационная техника, строительство, медицина и здравоохранение, окружающая среда, системы обеспечения качества. Стандарты МЭК более конкретны, чем стандарты ИСО, и более пригодны для прямого применения. Большое значение МЭК придает разработке стандартов на безопасность – главной целью стандартизации в области безопасности является поиск защиты от различных видов опасности.

В сферу деятельности МЭК входят: травматическая опасность, опасность поражения током, взрывоопасность, опасность излучений оборудования, в т.ч. и от ионизирующих излучений, биологическая опасность и др. Так, например, ГОСТ Р МЭК 62305-1-2010 «Менеджмент риска. Защита от молнии. Часть 1. Общие принципы» устанавливает общие принципы защиты от молнии зданий, сооружений и их частей, включая находящихся в них людей, инженерных сетей, относящихся к зданию (сооружению) и другие объекты; ГОСТ Р ИСО 17776-2010 «Менеджмент риска. Руководящие указания по выбору методов и средств идентификации опасностей и оценки риска для установок по добыче нефти и газа из морских месторождений» содержит описание основных методов, рекомендуемых для идентификации опасностей и оценки риска, относящихся к разработке и эксплуатации морских месторождений нефти и газа, включая сейсморазведку, топографические съемки, разведочное и эксплуатационное бурение, разработку месторождений, включая обеспечение ресурсами, а также вывод из эксплуатации и утилизацию соответствующего оборудования; ГОСТ Р ИСО 17666-2006 «Менеджмент риска. Космические системы» устанавливает принципы и требования для интегрированного менеджмента риска для космического проекта, на основе которых проводят внедрение интегрированной политики предприятия в систему менеджмента риска при выполнении проекта каждым участником проекта на всех уровнях (потребитель, поставщик первого уровня, поставщики низшего уровня); ГОСТ Р МЭК 61160-2006 «Менеджмент риска. Формальный анализ проекта» содержит рекомендации по выполнению процедур анализа проекта в качестве средства стимулирования совершенствования продукции и процессов. Стандарт устанавливает руководство по планированию и проведению анализа проекта и дает детальное описание участия в анализе специалистов по надежности, техническому обслуживанию, ремонту и обеспечению работоспособности.

Объединенный программный комитет ИСО/МЭК занимается распределением ответственности двух организаций по вопросам, касающимся смежных областей техники, к разработанным комитетом стандартам относится ISO/IEC 16085:2006 «Системы и разработка программного обеспечения. Процессы жизненного цикла. Управление рисками» и идентичный ему ГОСТ Р ИСО/МЭК 16085-2007 «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения», который устанавливает процесс менеджмента риска при заказе, поставке, разработке, эксплуатации и сопровождении программного обеспечения.

Помимо перечисленных стандартов, связанных с менеджментом хозяйственных рисков, существуют и специализированные, которые регламентируют процесс управления рисками в таких областях деятельности, как медицина, экология, информационные технологии и др.

В настоящее время к профессионалам пришло осознание того, что для создания эффективной системы управления рисками нужно выработать единые основы нормативной базы системы управления рисками организации. Но в связи с тем, что существует множество путей достижения данной цели, объединить все направления в единый документ практически невозможно. Именно поэтому уже существующие стандарты управления рисками не призваны быть нормативными. Однако следуя компонентам рассмотренных стандартов и выбирая при этом различные способы и методы, организации смогут достигать поставленных целей в плане риск-менеджмента.

Литература

1.Потапкина М. Стандарты управления рисками: способы применения в российской реальности [Электронный ресурс]. Режим доступа: www.buk.irk.ru/library/potapkina1.doc.

2. Международные стандарты управления рисками». Учебно-методическое пособие [Электронный ресурс]. Режим доступа: www.minzdravsoc.ru/.../Mezhdunarodnye_standarty_upravleniya_riskami.doc.

3. Международная стандартизация. ИСО. МЭК [Электронный ресурс]. Режим доступа: http://www.asu-tp.org/index.php?option