В рамках Международной организации по стандартизации разработаны и действуют стандарты, рассматривающие отдельные аспекты управления риском по ряду направлений деятельности, например, в нефтегазовой отрасли, в сфере эксплуатации промышленного и медицинского оборудования и другие.
В 2002 г. в целях унификации терминологии в области управления риском, в том числе и при разработке стандартов на различных уровнях, вступило в силу Руководство ИСО/МЭК 73:2002 «Менеджмент риска. Термины и определения» (ISO/IEC Guide 73 «Risk Management Vocabulary Guidelines for use in standards»).
Следующим уровнем развития стандартизации в области риск-менеджмента является подготовка общего стандарта ИСО в области управления рисками.
Согласно планам Международной организации по стандартизации выпуск такого документа – стандарта ИСО 31000 «Риск-менеджмент – Принципы и руководства по применению» (Risk Management – Principles and guidelines on implementation), разработку которого осуществляет Рабочая группа по стандартизации в области риск-менеджмента (состоит из представителей национальных органов по стандартизации 26 стран), намечен на середину 2009 г. (в настоящее время разработан и опубликован проект документа). Одновременно осуществляется пересмотр вышеупомянутого стандарта Руководство ИСО/МЭК 73:2002, разработка стандарта ИСО/МЭК 31010 «Риск-менеджмент – Руководство по оценке риска» (ISO/IEC 31010 Risk Management – Risk assessment guidelines)[9].
За основу при подготовке проекта стандарта ИСО 31000 разработчиками был принят рассмотренный выше стандарт Австралии и Новой Зеландии, о чем, в частности, свидетельствует схожесть использованного подхода к определению и описанию процесса риск-менеджмента и его отдельных составляющих. Вместе с тем существуют некоторые отличия. Например, проектом стандарта ИСО 31000 стадии «Идентификация риска», «Анализа риска», а также «Оценивание риска» рассматриваются не самостоятельно, а в качестве составляющих стадии «Оценка риска». Кроме того, отдельным образом подчеркивается необходимость документирования процесса управления риском с учетом выгод повторного использования накопленной информации для целей управления, оценки затрат на создание и хранение документов и ряда других факторов.
Вместе с тем характеристика принципов риск-менеджмента и описание модели управления риском отделены в рамках стандарта от характеристики собственно процесса риск-менеджмента. Признается, что процесс управления риском не существует сам по себе, а должен стать составным элементом управления в организации, должен внедряться в организационную культуру, настраиваться под действующие в рамках организации бизнес-процессы.
Среди принципов управления риском, определяющих его эффективность, обращают на себя внимание следующие тезисы, приведенные в проекте стандарта:
· Риск-менеджмент создает стоимость, то есть вносит вклад в достижение поставленных целей, а также в совершенствование в таких областях как здоровье и безопасность человека, соответствие законодательным требованиям, защита окружающей среды, финансовая деятельности, корпоративное управление, репутация.
· Риск-менеджмент – неотъемлемая часть организационных процессов в компании.
· Риск-менеджмент – составная часть процесса принятия решений в организации.
· Риск-менеджмент должен быть специально «настроен» с учетом специфики деятельности организации.
· Риск-менеджмент учитывает существование человеческого и культурного факторов.
Применение установленной проектом стандарта модели управления риском (рисунок 6) должно обеспечить эффективность риск-менеджмента, его интеграцию в общую систему управления компанией, а также должно способствовать использованию информации о риске при принятии решений на всех уровнях организационной иерархии, гарантировать адекватное отражение данной информации в отчетности компании.
В рамках модели особая роль отводится руководству организации, которое должно создать условия для внедрения управления рисками в рамках организации, а также для достижения текущей эффективности риск-менеджмента.
Таким образом, проектом стандарта, уделяется внимание не только описанию того как организовать процесс риск-менеджмента, но и рассматривается связь данного процесса с другим процессам организации.
Кроме того, в Приложении А к проекту стандарта определены атрибуты расширенного подхода к управлению рисками, в числе которых: непрерывное совершенствование и коммуникации; всесторонняя ответственность за риски, контроль риска, выполнение задач по обработке риска; центральное место риск-менеджмента в иерархии организационных процессов.
· Рисунок 6. Модель управления риском согласно проекту стандарта ИСО 31000 «Риск-менеджмент. Принципы и руководства по применению»
Источник: подготовлено на основании Draft International Standard ISO/DIS 31000 «Risk management – Principles and guidelines on implementation». ISO, 2008. PP. 3–7.
Таким образом, мировая практика демонстрирует активное развитие процессов стандартизации в области управления риском, в том числе на национальном и международном уровнях. Обозначенные стандарты определяют цели, задачи, элементы системы, этапы процесса управления рисками, необходимую организационную структуру. При этом схемы, заложенные в рассмотренных документах, могут быть использованы в качестве основы для процессов разработки и последующего внедрения корпоративных систем управления рисками.
Представленные в стандартах по риск-менеджменту подходы к организации процесса управления рисками носят общий внеотраслевой характер, отличаются различной степенью детализации. Вместе с тем их несомненной ценностью, в том числе и с позиции развития риск-менеджмента в России, является определение общего направления процессов построения корпоративных систем управления риском на практике.
Применение изложенных подходов на национальном и корпоративном уровнях стандартизации в России, в том числе и в рамках построения корпоративных систем управления риском позволит:
· проводить оценку применяемых компанией подходов к организации управления рисками как экспертам в самой организации, так внешним стейкхолдерам; выявлять слабые и сильные стороны корпоративного риск-менеджмента с точки зрения изложенных в стандартах общепринятых подходов;
· сократить затраты на подготовку основополагающих документов корпоративной системы управления риском и внесение необходимых изменений в организационную структуру, сосредоточившись на «настройке» типовых подходов под требования бизнеса;
· повысить эффективность процесса передачи функций по проектированию и внедрению корпоративных систем риск-менеджмента на аутсорсинг (в случае, если компания планирует прибегнуть к подобным услугам), вследствие появления возможности переложения на единую терминологическую базу рекомендации по построению отдельных элементов единой системы, поступающих от различных третьих организаций;
· осуществлять обмен опытом в области риск-менеджмента в практической и теоретической плоскостях (в том числе на национальном и международном уровнях).
Вопросы по разделу «Международные стандарты управления рисками»
1. Проанализируйте состояние стандартизации в области риск-менеджмента в России и других странах.
2. Опишите основные идеи и концепции, положенные в основу современных стандартов, разработанных профессиональными объединениями.
3. Опишите основные идеи и концепции, положенные в основу современных стандартов, изданных национальными органами по стандартизации.
4. Дайте оценку и анализ современных процессов стандартизации в области риск-менеджмента на международном уровне.
4. Зарубежный опыт по установлению предельных уровней риска [10]