Дмитрий Могилко
Бизнес-архитектор
Эксперт-консультант ВЭШ СПГЭУ
Асессор по модели EFQM
Партнёр ГК «Современные технологии управления» (г. Санкт-Петербург)
Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.
Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.
Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).
Рис. 1. Структура основных понятий риск-менеджмента
Представленная модель построена на основе следующей логики.
- Организация осуществляет деятельность в конкретной ситуации под влиянием факторов внешней и внутренней среды [2, 3], при этом:
- внешняя ситуация (среда) обусловлена влиянием культурных, социальных, правовых, финансовых, технологических, экономических факторов;
- внутренняя ситуация (среда) отражает ценности, культуру и стиль руководства, организационную и ролевую структуру, политику, цели и стратегию организации.
- Негативное развитие ситуации обусловливает возникновение опасных событий (опасностей), которые характеризуются вероятностью и последствиями их наступления.
- Появление опасного события приводит к возникновению риска — влияния неопределенности на цели организации, при этом неопределенность обусловлена недостаточностью информации, понимания или знания относительно события, его последствий или возможности.
- Из множества вероятных рисков отбираются наиболее значимые для организации с помощью критериев риска, которые представлены признаками и правилами оценки его значимости [4].
Критерии соответствуют виду риска [5] для одного из следующих классов опасностей по характеру происхождения:- природный;
- биосоциальный;
- техногенный;
- экологический;
- профессиональный;
- информационный;
- экономический;
- террористический;
- кибернетический;
- иной [6].
- Значимые для организации риски, выбранные с помощью критериев, подлежат идентификации, включая обнаружение, распознавание и описание. При идентификации опасных событий также определяются объекты воздействия (реестра риска) и методы идентификации риска [7]. Характеристика опасного события включает:
- идентификатор;
- наименование и описание, в том числе:
○ источник опасного события;
○ объект воздействий опасного события (люди, экология, экономика, система управления, социальная среда и инфраструктура организации);
○ последствия опасного события [3]; - этап жизненного цикла продукции (услуги) при возникновении опасного события;
- возможные последствия;
- необходимые предупреждающие средства контроля для реагирования на опасные события и способы восстановления деятельности [6].
В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:
- идентифицированные опасные события (инциденты — центральные узлы диаграммы);
- источники опасных событий (на диаграмме слева) и последствия (на диаграмме справа);
- установленные барьеры, предотвращающие эскалацию опасного события (предупреждающие меры на диаграмме слева) и нежелательные последствия (средства управления для восстановления и снижения последствий на диаграмме справа).
Рис. 2. Диаграмма «галстук-бабочка»
-
Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.
Таблица 1. Реестр риска (упрощенная форма)
Идентификатор опасного события Наименование и описание опасного события Ответственный менеджер по риску Последствия опасного события (I) Вероятность опасного события (L) Оценка риска (I × L) Мероприятия по обработке риска Срок выполнения мероприятий по обработке риска Примечания План Факт - Следующим за идентификацией этапом процесса управления риском является анализ его природы и уровня. При анализе риска определяются:
- источники данных;
- средства контроля;
- методы анализа;
- последствия реализации опасного события;
- вероятность наступления опасного события;
- оценка уровня риска [6].
Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:
- шкала последствий (табл. 2);
- шкала вероятности (табл. 3).
Таблица 2. Шкала оценивания последствий опасного события
Последствие (I),
баллыОписание
последствийОбъекты воздействия опасного события 5 Катастрофические последствия Люди, окружающая среда, экономика, органы государственного и муниципального управления, социальная среда, инфраструктура 4 Значительные последствия Люди, экономика, инфраструктура, окружающая среда, социальная среда 3 Умеренные последствия Люди, экономика, инфраструктура 2 Небольшие последствия Экономика, инфраструктура 1 Малозначительные последствия Социальная среда Примечание: объекты воздействия опасного события приведены для примера.
Таблица 3. Шкала оценивания вероятности наступления опасного события
Оценка вероятности,
%Качественная оценка вероятности, баллы Очень высокая — 81–100 Очень высокая — 5 Высокая — 61–80 Высокая — 4 Средняя — 21–60 Средняя — 3 Низкая — 1–20 Низкая — 2 Очень низкая — менее 1 Очень низкая — 1 Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).
Таблица 4. Матрица риска, ранги
Качественная оценка вероятности опасного события Последствия Малозначительные (1) Небольшие (2) Умеренные (3) Значительные (4) Катастрофические (5) Очень низкая (1) 1 2 3 4 5 Низкая (2) 2 4 6 8 10 Средняя (3) 3 6 9 12 15 Высокая (4) 4 8 12 16 20 Очень высокая (5) 5 10 15 20 25 -
Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:
- определение критериев приемлемости риска;
- сопоставление оценки риска с критериями приемлемости;
- заключение о приемлемости риска и необходимости его обработки [6].
По результатам анализа определяется уровень риска в следующих интервалах:
- ранг 0 — риск отсутствует, никакие действия не предпринимаются;
- 0–4 — риск низкий, предпринимаются низкозатратные действия;
- 5–8 — риск средний, предпринимаются действия с учетом временных и экономических затрат;
- 9–16 — риск высокий, необходимо срочное выполнение мероприятий по снижению риска;
- 16–25 — риск высокий, необходимо предпринять незамедлительные действия по его снижению [7].
-
После оценки риска наступает этап его обработки / модификации посредством:
- избежания, т. е. отказа от деятельности;
- принятия;
- устранения источника риска;
- изменения его вероятности;
- изменения его последствий;
- разделения риска с другой стороной [2].
Обработка риска включает следующие этапы:
- определение целей обработки риска;
- определение и выбор способов обработки риска (с учетом затрат, эффективности обработки, уровня остаточного риска);
- разработка и осуществление плана обработки риска [3].
-
Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:
- измеряться в процентах, представлять собой число (номер) или соотношение;
- определяться сопоставимыми значениями за определенный промежуток времени;
- иметь базовые значения;
- иметь недорогие и простые (в интерпретации и контроле) данные [9, 10].
Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.
Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:
- соблюдать принципы менеджмента риска;
- нести ответственность, выполнять обязанности и иметь полномочия в области менеджмента риска;
- формировать реестр риска и вести отчетность в соответствии с установленными в организации формами, с применением стандартизованных терминов и принятых критериев [5].
Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:
- знание политики, стратегии и целей организации в области менеджмента риска;
- понимание связи политики в области риска с общей политикой и стратегическими целями организации, а также с требованиями и ожиданиями причастных к этому сторон;
- знание процессов и специфики работы организации;
- знание необходимых правовых требований, в том числе требований нормативной и технической документации: технических регламентов, стандартов и рекомендаций в области риска;
- знание и правильное использование терминов менеджмента риска;
- знание карты этого процесса;
- знания в области применения реестра риска.
Основные требования к навыкам менеджеров по риску включают способности:
- Идентифицировать, описать и зарегистрировать опасные события и оценить соответствующие им риски.
- Применять критерии допустимого риска организации.
- Задействовать методы оценки риска.
- Использовать методы разработки и ведения реестра риска.
- Применять методы обработки и мониторинга риска организации, в том числе методы оценки результативности и эффективности мероприятий по снижению риска.
- Использовать методы анализа менеджмента риска и управления документацией в этой области.
- Обеспечивать от имени высшего руководства внедрение процесса менеджмента риска, а также разработку, внедрение, функционирование и поддержку в рабочем состоянии соответствующей системы.
- Доводить до сведения высшего руководства информацию о работе системы менеджмента риска и всех необходимых улучшениях, при этом в отчете по реестру риска необходимо указывать:
- перечень опасных событий, связанный с ними риск и способы обработки;
- оценку эффективности мер по обработке ключевых видов рисков;
- произошедшие изменения за отчетный период;
- необходимые изменения в стратегиях, целях и задачах в области риск-менеджмента для предотвращения или снижения возможных потерь;
- предполагаемую причину неэффективности мероприятий по обработке риска;
- необходимые действия для выполнения мероприятий по обработке риска;
- меры повышения эффективности риск-менеджмента [6].
- Обеспечивать понимание риска персоналом организации.
- Согласовывать процесс риск-менеджмента с общей системой процессов организации.
- Внедрять решения, принятые по результатам оценки риска.
- Поддерживать и постоянно улучшать систему риск-менеджмента.
Оценка риска осуществляется группой, включающей следующие роли:
- владелец / спонсор — инициирует и контролирует осуществление оценки риска, обеспечивает необходимыми ресурсами (финансовыми, материальными, нематериальными) выполнение плана-графика по времени;
- руководитель группы — управляет выполнением оценки риска;
- эксперт по исследуемому направлению — предоставляет соответствующие информацию, данные и экспертные оценки, относящиеся к исследуемому риску;
- помощник — оказывает помощь при оценке риска, организует совещания по ней;
- участник — активно участвует в процессе оценки риска [3].
Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:
- цель: постоянное определение, анализ, обработка и мониторинг рисков;
- выходы: область применения менеджмента рисков, определение и выполнение стратегий менеджмента рисков, определение рисков, анализ рисков, оценивание степени риска, применение обработки риска;
- виды деятельности: планирование менеджмента рисков, менеджмент профиля рисков, анализ рисков, обработка рисков, мониторинг рисков, оценка процесса менеджмента рисков.
В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).
Рис. 3. IDEF0-модель процесса менеджмента риска
Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.
Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.
№ | Параметр | Требования и рекомендации |
---|---|---|
1 |
Код регистрации (в реестре) и название риска (опасного события) |
Реестр риска является формой записи информации об идентифицированном риске, сроках и способах его обработки, предупреждающих действиях. В реестр риска включают все идентифицированные опасные события, выявленные в организации и ее подразделениях, результат оценки их риска, а также оценку возможных последствий опасного события для деятельности организации в стоимостном и материальном выражении [5]. |
2 |
Тип риска (внешний или внутренний) |
При установлении целей и области применения менеджмента риска организация обычно выявляет внешние и внутренние воздействия на свою деятельность, которые следует учитывать при разработке области применения и определении критериев риска [3]. |
3 |
Вид риска (экономический, технический, социальный, экологический) |
Высшее руководство должно установить критерии риска, используемые в реестре. Решения о необходимости обработки риска могут быть основаны на эксплуатационных, технических, финансовых, юридических, законодательных, социальных, экологических, гуманитарных и/или других критериях. Последние должны отражать установленные цели и область применения менеджмента риска. Они связаны с политикой, целями и задачами организации и интересами причастных к процессу сторон [5]. |
4 |
Владелец риска (ответственный за менеджмент риска) |
|
5 |
Риск-менеджеры (эксперты по оценке риска) |
|
6 |
Область или объект воздействия риска (организация, среда, персонал, продукт, процесс) |
При определении целей и области применения реестра риска в первую очередь определяют объекты реестра риска. Объектами могут быть:
|
7 |
Заинтересованные (причастные) стороны, подверженные риску |
|
8 |
Источник и условия возникновения риска (опасного события) |
Анализ риска включает исследование источников опасных событий, их последствий и вероятности появления. При этом должны быть также идентифицированы факторы, влияющие на последствия и вероятность события. Риск должен быть проанализирован с учетом сочетания последствий события и его вероятности [7]. |
9 |
Уровень (балл) последствий воздействия риска (опасного события) |
|
10 |
Уровень (балл) вероятности возникновения опасного события |
После определения последствий для каждого опасного события следует выявить соответствующую вероятность. Используя таблицу оценки вероятности опасного события, для каждого последствия каждого опасного события проводят качественную оценку вероятности и регистрируют ее в реестре риска [3]. |
11 |
Оценка уровня (ранга) риска |
Ранжирование опасных событий проводят в соответствии с ущербом. Результатом анализа и сравнительной оценки риска является ранжирование, согласованное с политикой и целями организации в области риска, и принятие решения о необходимости обработки риска [6]. |
12 |
Решение о необходимости обработки риска |
|
13 |
Мероприятия по обработке риска (снижению вероятности и/или последствий) |
Целью плана обработки риска является регистрация выбранных способов обработки риска. План обработки риска должен включать в себя:
|
14 |
Ответственный за обработку риска |
Организация должна разработать план мероприятий по обработке риска. В плане должны быть установлены сроки выполнения мероприятий по обработке риска и ответственные за них. Ответственными, как правило, назначают:
|
15 |
Срок выполнения мероприятий по обработке риска |
Этапы обработки риска включают в себя:
|
16 |
Индикаторы мониторинга риска |
|
17 |
Сведения о результативности и эффективности обработки риска (оценка и опыт) |
|
18 |
Направления улучшения инфраструктуры риск-менеджмента |
|
19 |
Периодичность актуализации оценки риска (реестра риска) |
|
20 |
Дата актуализации сведений о риске (в реестре) |
— |
Для практического использования паспорт риска может быть реализован как нормативно-справочный документ в системе бизнес-моделирования Business Studio (рис. 4), при этом:
- названия параметров риска указываются в поле «Раздел» атрибутов документа;
- содержание (значение) параметров риска заносится в поле «Комментарий» атрибутов документа;
- требования к параметрам риска указываются в поле «Комментарий» раздела атрибутов объекта (рис. 5).
Рис. 4. Карточка документа «Паспорт риска» в системе Business Studio
Рис. 5. Карточка раздела документа
Использовать справочник «Разделы атрибутов объектов» удобно — в результате однократного внесения сведений (при последующем их пополнении) можно многократно автоматически выводить отчеты для различных паспортов рисков.
Для унифицированного представления содержания (шаблона) документа «Паспорт риска» используются стандартные возможности системы Business Studio по настройке и формированию пользовательских отчетов [11] (рис. 6).
Рис. 6. Шаблон пользовательского отчета «Паспорт риска»
В результате применения пользовательского отчета будет получен документ «Паспорт риска» в унифицированной форме (рис. 7).
Рис. 7. Отчет «Паспорт риска»
Для составления реестра по всем зарегистрированным в системе рискам целесообразно воспользоваться средствами OLE-автоматизации, при этом автоматически построенный Excel-отчет включает следующие разделы.
- Лист «Матрица рисков» (рис. 8):
- средневзвешенный уровень рисков организации (например, 10,25);
- матрицу позиционирования рисков в координатах «Вероятность» и «Последствия» (например, риск «Высокая зависимость от ключевых сотрудников» имеет значения параметров: вероятность — 4 балла, последствия — 3 балла);
- список (реестр) рисков, включающий дополнительные сведения: дату (обновления в карточке риска), код (регистрационный номер), владельца.
- Лист «Риски» (рис. 9):
- ранг уровня риска (например, 12);
- сведения (содержание) о параметрах риска;
- параметры риска (ссылки).
- Лист «Требования» (рис. 10):
- наименование раздела (нормативно-справочного) документа;
- требования и рекомендации стандартов для параметра риска.
Рис. 8. Лист «Матрица рисков» Excel-отчета по мониторингу
Рис. 9. Лист «Риски» Excel-отчета по мониторингу
Рис. 10. Лист «Требования» Excel-отчета по мониторингу
Для удобства навигации отчет содержит необходимые автоматические ссылки.
ВЫВОДЫ
Предложенная автором структура паспорта риска, содержащая требования и рекомендации соответствующих стандартов, позволит определять и поддерживать необходимые компетенции участников инфраструктуры по управлению рисками. Применение системы Business Studio позволит осуществлять регулярную деятельность по актуализации реестра риска, поддержанию и развитию требуемых компетенций в области управления рисками, а также регулярный мониторинг выполнения мероприятий по их обработке.
Источники информации:
- ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования».
- ГОСТ Р ИСО 31000–2010 «Менеджмент риска. Принципы и руководство».
- ГОСТ Р 51901.23–2012 «Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска».
- Р 50.1.068–2009 «Менеджмент риска. Рекомендации по внедрению. Часть 1: Определение области применения».
- ГОСТ Р 51901.21–2012 «Менеджмент риска. Реестр риска. Общие положения».
- ГОСТ Р 51901.22–2012 «Менеджмент риска. Реестр риска. Правила построения».
- Р 50.1.084–2012 «Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации».
- ГОСТ Р ИСО/МЭК 30010–2011 «Менеджмент риска. Методы оценки риска».
- Р 50.1.090–2014 «Менеджмент риска. Ключевые индикаторы риска».
- ГОСТ Р ИСО/МЭК 12207–2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств».
- Создание пользовательских отчетов.
Опубликовано по материалам:
«Менеджмент качества», 03/2019.
Октябрь 2019 г.
Рекомендуемые материалы по тематике
Глоссарий
Проектирование системы управления здоровьем предприятия с использованием процессного подхода в Business Studio
Процессный подход в России может давать фантастические результаты — интервью Тимура Кадыева в рамках проекта «Управление из первых рук»
Практический опыт по снижению операционных затрат
НОВЫЕ СТАНДАРТЫ |
Период поступления в федеральный фонд технических регламентов и стандартов |
||||||||||||||||||||||||
|
|
|||||||||||||||
Библиография
|
|||||||||||||||
Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска
действующий В настоящем стандарте установлены общие принципы анализа опасных событий и инцидентов для включения в реестр риска организации. Основной целью настоящего стандарта является повышение достоверности оценок риска опасных событий и инцидентов, повышение качества и обеспечение сопоставимости информации о риске в реестрах риска различных организаций. Настоящий стандарт предназначен в первую очередь для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий. Настоящий стандарт может помочь в работе причастных сторон, включая лиц, ответственных за разработку политики менеджмента риска, составление реестра риска, управление риском и оценку риска, а также оценку эффективности менеджмента риска организации. Единый метод оценки риска опасных событий, инцидентов и аварий, используемый для их включения в реестр риска позволяет организациям на местном, региональном и федеральном уровнях получать сопоставимые данные о риске и использовать унифицированные способы реагирования на опасные ситуации и инциденты, а также их предупреждения
Текст ГОСТ Р 51901.23-2012
Другие ГОСТы
ГОСТ Р 51901.15-2005 Менеджмент риска. Применение марковских методов
ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство
ГОСТ Р ИСО 31000-2019 Менеджмент риска. Принципы и руководство
ГОСТ Р 51901.6-2005 Менеджмент риска. Программа повышения надежности
ГОСТ Р 51901.10-2009 Менеджмент риска. Процедуры управления пожарным риском на предприятии
ГОСТ Р 51901.21-2012 Менеджмент риска. Реестр риска. Общие положения
ГОСТ Р 51901.22-2012 Менеджмент риска. Реестр риска. Правила построения
ГОСТ Р 55914-2013 Менеджмент риска. Руководящие указания по управлению психологическим риском на рабочем месте. Разработка ГОСТ Р. Прямое применение МС с дополнением -EQV (PAS 1010::2011).
ГОСТ Р ИСО 17776-2010 Менеджмент риска. Руководящие указания по выбору методов и средств идентификации опасностей и оценки риска для установок по добыче нефти и газа из морских месторождений
ГОСТ Р 51901.4-2005 Менеджмент риска. Руководство по применению при проектировании
ГОСТ Р 51901.5-2005 Менеджмент риска. Руководство по применению методов анализа надежности
ГОСТ Р МЭК 60300-1-2017 Менеджмент риска. Руководство по применению менеджмента надежности
ГОСТ Р 51901.3-2007 Менеджмент риска. Руководство по менеджменту надежности
ГОСТ Р 51901.7-2017 Менеджмент риска. Руководство по внедрению ИСО 31000
Дополнительная информация
Английское название | |
Введен в действие | 01.12.2013 |
Дата издания | 14.09.2020 |