В настоящее время национальные стандарты действуют в Австралии и Новой Зеландии (AS/NZS 4360, принят в 1995 г., дорабатывался в 1999 г. и 2004 г.)[5], Канаде (CAN/CSA-Q850 – 97, принят в 1997 г.); Японии (JIS Q 2001, принят 2001 г.), Великобритании в сфере управления проектными рисками (BS-6079-3:2000, принят в 2000 г.). Отдельные разработки в данной области проводятся и в ряде других стран (например, Норвегии, где действует, в частности, стандарт Z-013 «Анализ готовности к риску и возникновению аварийных ситуации», разработанный для нефтегазовой индустрии).
Одним из наиболее полных и проработанных национальных стандартов в области управления риском эксперты признают Стандарт по риск-менеджменту Австралии и Новой Зеландии. Стандарт AS/NZS 4360 имеет общий (внеотраслевой) характер, его основные положения адаптированы для построения систем управления риском рядом транснациональных компаний.
Согласно стандарту AS/NZS 4360 управление риском на уровне компании представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного характера (рисунок 2). При этом под управлением риском в стандарте понимается «совокупность культуры, процессов и структур, ориентированная на использование потенциальных возможностей при одновременном управлении негативными воздействиями».
Стадия 1. Определение окружения (среды).
Среди факторов, определяющих необходимость анализа и идентификации внутренней среды компании, выделяются следующие:
· управление риском должно осуществляться в контексте определенных целей и задач организации;
· одним из основных рисков компании является возникновение препятствий в процессе достижения поставленных стратегических, операционных, проектных и прочих целей;
· четкая формулировка принципов организационной политики и целей компании будет способствовать определению основных направлений корпоративной политики в области управления рисками;
Рисунок 5. Составляющие процесса управления риском, рекомендованные Стандартом по риск-менеджменту Австралии и Новой Зеландии AS/NZS 4360
Источник: AS/NZS 4360:2004 - Risk Management, issued by Standards Australia. P. 13.
· цели и задачи компании по сегментам деятельности, а также целевые ориентиры, формируемые при реализации отдельных корпоративных проектов, должны рассматриваться в соответствии с целями компании как единого целого.
Одной из результирующих данной стадии является решение задачи идентификации так называемых причастных (по отношению к рассматриваемой компании) сторон. При этом под причастной стороной (в литературе также широко применяются термины «заинтересованные стороны», «стейкхолдеры») понимается «любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженным воздействию риска»[6]. В соответствии с приведенным определением к причастным сторонам относятся, в частности, клиенты и контрагенты, внутрикорпоративные группы (персонал, менеджмент), неправительственные организации, государственные структуры, СМИ. Среди целей идентификации причастных сторон следует отметить:
· необходимость обеспечения лиц, принимающих решения, профилями причастных сторон для лучшего понимания их потребностей и ожиданий в отношении риск-менеджмента компании;
· формирования ключевых тезисов, которые лица, принимающие решения на уровне компании, предполагают донести до причастных сторон в процессе коммуникаций и консалтинга.
При этом следует отметить, что подобный «расширенный» подход к определению круга причастных сторон является преимуществом стандарта AS/NZS 4360: в теории риск-менеджмента существуют позиция, в рамках которой акценты смещаются в сторону рассмотрения, анализа осознания риска компании ее акционерами, что сужает информационную основу для формирования корпоративной системы управления риском, уменьшает гибкость вырабатываемых подходов.
Восприятие риска причастной стороной не статично и зависит от изменений, происходящих во внешней среде, специфики решаемой проблемы. Также следует отметить, что на различных стадиях управления риском сформированный перечень может корректироваться.
Примечательно, что расширенный подход к определению причастных сторон в настоящее время претерпевает качественное развитие. В частности, в материале исследования Международного совета по управлению риском (International Risk Governance Council)[7] вводится понятие «социальный контекст (среда) риск-менеджмента», которое подразумевает проведение структурирования совокупности причастных сторон: первый уровень – взаимодействие субъектов, сталкивающихся с рисковыми явлениями; второй уровень – принятие политических решений, регулирования, а также социополитическое воздействие, превалирующее среди институциональных образований, влияющих на проистечение рисковых процессов, их организационные структуры и возможности необходимые для организации эффективного управления рисками[8]. Таким образом, на систематической основе предлагается проводить анализ действий отдельных индивидов, а также властных отношений. С точки зрения экспертов организации, необходимо исследовать, каким образом осуществляется принятие решений в области управления риском в ситуациях, когда в данный процесс вовлечен целый спектр сторон, что в свою очередь требует координации и увязки интересов.
В рамках рассматриваемой стадии управления риском также производится определение спектра целевых показателей деятельности, перечня элементов стратегии компании, параметров ее функционирования, на которые будут влиять процессы риск-менеджмента; обеспечение баланса возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента). Также следует определить требуемые ресурсы и учетные процедуры.
Стадия 2. Идентификация рисков.
На данной стадии должны быть идентифицированы риски, обусловленные особенностями внешней и внутренней среды, проанализированной на предыдущем этапе: рассматриваются все возможные источники риска, а также имеющаяся информация о восприятии риска (осознании риска) причастными сторонами как внутренними по отношению к организации, так и внешними.
Особые требования предъявляются в отношении качества информации (максимально возможный уровень релевантности, полноты, точности и временного соответствия при имеющихся ресурсах на ее получение) и ее источников.
Важно, чтобы персонал, задействованный в идентификации рисков, обладал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обуславливает необходимость участия в данном процессе специальных рабочих групп, составленных из экспертов различного профиля.
Стадия 3. Анализ рисков.
Результатом прохождения рассматриваемой стадии является определение уровня риска, отражающего оценки последствий и вероятности рисковых событий. Выделяют количественный и качественный анализ. Ценность и значение качественного анализа существенным образом повышаются в случае, если определение риска формируется широким кругом причастных сторон.
Стадия 4. Оценивание рисков.
Задачей данной стадии является принятие решения о допустимости/недопустимости риска (в отношении допустимого риска не применяются процедуры обработки риска, предусмотренные стадией 5 рассматриваемого процесса управления риском).
Оценивание риска предполагает исследование уровней подконтрольности рискового события, затрат на осуществление воздействия, потенциальных издержек и выгод, связанных с рисковым событием.
Результаты работы экспертов на данной стадии могут потребовать пересмотра критериев риска, установленных на первой стадии процесса (таким образом, решается задача обеспечения попадания всех значимых рисков в область анализа).
Стадия 5. Обработка риска.
На данной стадии осуществляется работа с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопустимости для компании в соответствии с критериями, определенными на начальных стадиях рассматриваемого процесса управления рисками.
Альтернативные варианты обработки рисков:
· Избежание риска, осуществляемое либо посредством прекращения деятельности, сопряженной с недопустимым для компании уровнем риска, и выбором других, более приемлемых направлений деятельности, отвечающих задачам организации, либо в ходе избрания альтернативной, менее рисковой методологии в отношении организации рассматриваемого процесса или направления деятельности;
· Снижение вероятности реализации рискового события и (или) возможных последствий реализации; важно учитывать, что должен быть найден баланс между уровнем риска и издержками, сопряженными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, одновременно имея высокие издержки реализации, необходимые затраты требуют бюджетирования. Рекомендованные в рамках данной альтернативы процедуры: контроль; улучшение процессов; тренинги и повышение квалификации персонала; аудит и определение соответствия установленным правилам;
· Разделение риска с третьими сторонами. Необходимо учитывать, что передающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффективно управлять им;
· Удержание риска. Данная альтернатива применяется в отношении остаточных, а также невыявленных рисков.
Процесс 1. Коммуникации и консультирование.
На первых стадиях разработки стратегии управления рисками необходимо принять решение в отношении стратегии коммуникаций и консультирования (т.е. фактически предлагается начинать процесс управления риском с установления коммуникативных связей и консультирования). При этом в рассматриваемом стандарте наименование процесса указывает на необходимость ведения диалога между причастными сторонами (альтернатива одностороннему потоку информации от организации причастным сторонам), результатом которого должно быть аккумулирование взглядов и рекомендаций в отношении сущности, природы, формы, тяжести последствий и приемлемости рисков организации. Необходимо отметить, что в ряде стандартов (например, в рамках канадского стандарта по риск-менеджменту CAN/CSA-Q850 – 97) производится сужение описываемого процесса до осуществления коммуникации риска.
Процесс 2. Мониторинг и анализ.
Необходима интеграция данного процесса с представленными стадиями управления рисками – организация процессов мониторинга и анализа рисков на постоянной основе требуется для обнаружения изменений в характеристиках рисков/перечня рисков под влиянием изменений среды, подтверждения адекватности применения действующих процедур по риск-менеджменту в изменившихся обстоятельствах.
Серди методов проведения мониторинга и анализа рисков выделяются внутренние программы проверок; внутренний и внешний аудит; изучение деятельности компании, осуществляемое уполномоченными организациями: парламентские комиссии, суды и прочие; инвентаризация; и другие методы.
Необходимо отметить, что эксперты в области риск-менеджмента связывают качественное развитие системы стандартизации в данной сфере с выходом процесса с уровня национальных органов по стандартизации / профессиональных объединений на уровень Международной организации по стандартизации. Последнее позволит, в том числе, провести унификацию выработанных в действующих стандартах и руководствах в области риск-менеджмента подходов прежде всего с точки зрения используемого терминологического аппарата, понимания содержания элементов системы управления риском, связей между ними.