Главная Безналичные

Что такое риск ориентированное мышление. Риск-ориентированное стратегическое планирование, бюджетирование и оценка эффективности деятельности

17.07.2019

Организация риск-ориентированного управления и бюджетирования поможет своевременно реагировать на изменение внешней и внутренней среды, снизить возможные потери от реализации всех рисков, так или иначе оказывающих влияние на финансово-хозяйственную деятельность компании.

В нашей компании ранее не было формализованного, упорядоченного и комплексного процесса управления рисками. Убытки от реализации рисков не измерялись, что крайне затрудняло принятие управленческих решений и негативно влияло на дальнейшее развитие компании. Оценке и анализу подвергались лишь финансовые риски. В 2011 году акционеры поставили задачу: разработать с нуля и внедрить систему управления рисками, которая должна помочь снизить убытки от возможной реализации тех или иных рисков и не допустить их негативного влияния на деятельность компании. Принимая во внимание успешный опыт управления финансовыми рисками, было решено обойтись собственными силами без привлечения внешних риск-менеджеров. Построение системы поручили финансовому департаменту. В качестве основной классификации мы применили подход, указанный в международных стандартах COSO ERM (Enterprise Risk Management - Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission – принципы риск-менеджмента, ориентированные на повышение достоверности отчетности предприятий. – Прим. ред.), который предусматривает четыре категории рисков: стратегические, операционные, нормативные, финансовые.

ЭТАП 1. ИДЕНТИФИКАЦИЯ

Мы исследовали все направления бизнеса компании, описали возможные области возникновения рисков в привязке к классификации по стандартам COSO ERM 2004. В итоге выявили 22 области возникновения рисков(см. табл. 1), определили их свойства и характеристики (см. табл. 2). Далее необходимо было идентифицировать каждый риск, то есть выявить, какие факторы указывают на его возможное возникновение. Всего изначально было идентифицировано более 160 рисков, затем для повышения управляемости риски были укрупнены и объединены. И на 2015 год в выявленных 22 областях возникновения рисков мы идентифицировали 65 рисков (см. табл. 3).



Отмечу, что информация о возможных областях возникновения рисков и их характеристиках получает свое отражение в годовом отчете нашей компании. Таким образом, у акционеров, рейтинговых агентств и других пользователей есть четкое понимание того, с какими проблемами можно столкнуться при реализации особо опасных рисков. Кроме того, мы определили «владельцев» рисков, то есть появилась «адресность» каждого опасного для компании события. Например, я, как директор по финансам, помимо прочих финансовых рисков отвечаю в том числе за риск ликвидности, реализация которого грозит возникновением штрафов и претензий контрагентов. Я обязана предпринимать все усилия для того, чтобы избежать его возникновения. Таким образом, полномочия по управлению рисками стали закреплены за конкретным ответственным лицом в рамках его функциональной деятельности.

ЭТАП 2. ОПРЕДЕЛЕНИЕ УРОВНЯ КРИТИЧНОСТИ

На этом этапе требовалось оценить степень влияния каждого риска на деятельность нашей компании. Для этого все риски мы разделили по уровням критичности: критические (их мониторинг осуществляет совет директоров), приемлемые (эти риски курирует комитет по аудиту) и незначительные (отслеживает комитет по рискам). Определение статуса критичности основано на оценке рисков по жестким двухмерным метрикам: вероятность наступления и возможный ущерб от реализации. Совокупный размер риска, который может взять на себя компания без ущерба для деятельности, определяется ежегодно советом директоров и составляет 300 млн рублей (это около 10% от среднемесячной плановой выручки на 2015 год). Ранжирование рисков было произведено, исходя из следующих параметров:

  • критические – их оценка по сумме ущерба превышает 300 млн рублей с любой вероятностью или превышает 200 млн руб лей с вероятностью более 5 процентов, или превышает 100 млн рублей с вероятностью более 80 процентов;
  • приемлемые – оценка по сумме ущерба составляет от 100 млн до 300 млн рублей с вероятностью от 0 до 5 процентов или от 50 млн до 200 млн рублей с вероятностью от 5 до 80 процентов, или менее 50 млн рублей с вероятностью более 50 процентов;
  • незначительные – оценка по сумме ущерба менее 100 млн рублей с вероятностью менее 5 процентов или менее 50 млн рублей с вероятностью менее 50 процентов.

По каждому риску мы определили стратегию управления (см. табл. 4), руководствуясь оценкой стоимости мероприятий по управлению рисками по отношению к возможным потерям. Исходя из этого, «владельцы» рисков разрабатывают меры по управлению рисками. Приведу пример. «Владельцем» риска «Отказы и аварии оборудования» является главный инженер. Объект – краны. Возможный ущерб оценивается в 45 млн рублей. Издержки по управлению составляют 500 тыс. рублей (страхование). Стратегия – передача риска.


ЭТАП 3. ФОРМИРОВАНИЕ КАРТЫ РИСКОВ

Итогом нашей работы стала карта рисков. Она содержит в себе исчерпывающее описание рисков, реализация которых может повлечь убытки для компании. Карта представляет собой упорядоченный перечень рисков (в форме таблицы Excel), содержащий следующую информацию по каждому риску: классификация по COSO ERM 2004; область, номер, наименование, возможные причины и возможные последствия риска; владелец риска; уровень критичности; метод управления. Поскольку управление рисками – это непрерывный процесс, карта пересматривается ежегодно, информация по событиям постоянно обновляется, и наша задача – своевременно реагировать на изменения внешней и внутренней среды. Кроме того, в компании обновлена политика и концепция управления рисками.

Эти документы систематизируют процедуру управления рисками, в том числе: регламентируют и определяют основные принципы управления рисками, роль и функции органов управления компании в системе риск-менеджмента, взаимодействие системы управления рисками и риск-ориентированного внутреннего аудита, совокупный размер риска, который может взять на себя компания без ущерба для деятельности.

ЭТАП 4. ИНТЕГРАЦИЯ СИСТЕМЫ С КПЭ

Чтобы своевременно отследить увеличение вероятности реализации того или иного риска и успеть его предотвратить, мы рассчитали ключевые индикаторы риска (КИР, метрики, используемые для обеспечения раннего оповещения о возрастающей подверженности риску) для всех рисков, разработали и утвердили методику расчета КИР. Кроме того, для повышения вовлеченности участия руководителей в процесс управления рисками мы привязали КИР к ключевым показателям эффективности (КПЭ), напрямую влияющим на мотивацию сотрудников (см. табл. 5). В случае отклонения значений КИР от установленных сотрудник сообщает об этом руководителю.


Затем проводится анализ причин отклонений и при необходимости разрабатываются дополнительные мероприятия по недопущению реализации риска (см. табл. 6).


Следует отметить, что важным этапом создания системы управления рисками стало ее распространение на филиалы, дочерние и зависимые общества компании. Мы проводили тренинги и обучения для сотрудников ДЗО, смогли включить в периметр системы управления рисками 16 филиалов компании и самое крупное дочернее общество, которое находится в Казахстане. Сейчас масштабные тренинги стараемся организовывать раз в год – отдельно для владельцев рисков (топ-менеджмент) и отдельно для непосредственных исполнителей. Кроме того, мы проводим обучение по запросу конкретного подразделения.

ЭТАП 5. ПОСТРОЕНИЕ РИСК-ОРИЕНТИРОВАННОГО БЮДЖЕТИРОВАНИЯ

После внедрения системы предстояло привязать ее к бюджету компании – то есть перейти не только на риск-ориентированное управление, но и на риск-ориентированное бюджетирование. Вот что мы сделали.

При подготовке бюджета решили использовать систематизированную информацию из карты рисков и проигрывать различные варианты реализации рисков и их влияние на бюджет компании. Другими словами, мы определяем сценарии реализации рисков на основе статистических и отраслевых данных, проводим факторный анализ, а также анализ последствий реализации рисков в зависимости от сценариев.

Вкратце опишу, как это делается, и приведу небольшой пример:

Шаг 1. Подготовка финансовой модели компании (базовый сценарий). Так, например, у нас есть «Базовая процентная ставка по кредитам и займам».

Шаг 2. Анализ влияния общих и специфических риск-факторов. Используя карту рисков, мы рассматриваем «Ухудшение ситуации на фондовых рынках и рынках капитала».

Шаг 3. Моделирование с использованием информации, в том числе статистических данных, о степени влияния рисков. Так, мы приходим к выводу о невозможности привлечь заплани- рованный объем заемного капитала по базовым ставкам.

Шаг 4. Анализ исходящих данных с точки зрения влияния на прогнозируемые денежные потоки и прибыль. По итогам анализа принимается решение об изменении потребностей компании в объеме заемного финансирования.

Шаг 5. Формирование бюджета на основе финансовой модели, скорректированной с учетом возможного влияния тех или иных рисков. В нашем примере мы уменьшаем требуемый компании объем заемного финансирования и меняем базовую ставку с учетом текущей рыночной ситуации.

ЭТАП 6. МОНИТОРИНГ И КОНТРОЛЬ

Мы ведем статистику реализовавшихся рисков и информации по убыткам, возникшим вследствие их реализации. В форме отчета представляем ее комитету по рискам, комитету по аудиту, а также в службу внутреннего аудита.

Последняя использует эту информацию при проведении как плановых, так и внеплановых проверок подразделений центрального аппарата и филиалов компании. Отчеты по итогам проверок содержат выявленные замечания в привязке к коду риска из карты. По каждому замечанию назначается ответственный за его устранение, исходя из закрепленных в карте рисков полномочий по его управлению.

Подводя итоги, можно сказать, что внедренная комплексная система управления рисками позволила:

  1. оценить и оцифровать все риски, обеспечить поддержание оптимального уровня контрольной среды в компании;
  2. дать оценку возможным финансовым потерям от реализации стратегических, операционных, нормативных и финансовых рисков;
  3. разработать мероприятия по недопущению реализации рисков;
  4. наладить риск-ориентированное управление и риск-ориентированное бюджетирование;
  5. не допустить недостижения бюджетного показателя чистой прибыли, несмотря на существенное ухудшение рыночной конъюнктуры.

Особую гордость вызывает тот факт, что наша компания является единственной в секторе железнодорожного транспорта, где внедрена и успешно функционирует комплексная система управления рисками.

После публикации новой версии стандарта ISO 9001 :2015, пожалуй, больше всего вопросов и дискуссий возникает относительно одного из новых требований - применение риск ориентированного мышления (в англ. «risk-based thinking») . Рекомендую посмотреть видео "Основные различия между ISO 9001:2015 и ISO 9001:2008 ".

На моем блоге я написала несколько статей на тему управления рисками (см. статьи: «Управление рисками вместо предупреждающих действий» ; «Управление рисками - основные шаги» ; «Риск менеджмент в бизнесе» и др.). В продолжение темы я решила написать о том, что же такое «риск ориентированное мышление» по ISO 9001:2015 и как его применять.

Риск ориентированное мышление, прежде всего,подразумевает реализацию организацией комплекса согласованных мероприятий и методов для управления и контроля многочисленными рисками (положительными и отрицательными), влияющими на её способность достигать запланированных целей. Риск ориентированное мышление, фактически, заменяет требование по выполнению предупреждающих действий из прежней версии стандарта.

Нельзя сказать, что риск ориентированное мышление - это абсолютно новое требование. В неявном виде оно всегда присутствовало в ISO 9001. В предыдущих версиях стандарта, включая ISO 9001 :2008, присутствовало требование прогнозирования и предотвращения ошибок, несоответствий (осуществление предупреждающих действий), что тоже относится к риск ориентированному мышлению. Организации обучали людей, планировали работу, распределяли обязанности и полномочия, проверяли результаты, проводили аудиты и проверки, осуществляли мониторинг и измерения процессов. Все эти действия были направлены на то, чтобы избежать ошибок и достичь успеха.

Таким образом, организации пытались управлять своими рисками и возможностями. Поэтому можно сказать, что всегда было частью ISO 9001 и Систем менеджмента качества организаций. Просто раньше это было неявно, а теперь явно. Так почему же разработчики ISO 9001:2015 решили сделать применение риск ориентированного мышления более явным и фактически заменили им предупреждающие действия? Что нового организации должны делать, чего не делали раньше?

Дело в том, что предупреждающие действия в большинстве организаций часто выполнялись «для галочки», из необходимости выполнить требование ISO 9001 , а не в качестве реального инструмента продвижения вперед, непрерывного улучшения. Нередко предупреждающие действия выполнялись на ненадлежащем уровне и бессистемно . Кроме того, во многих организациях ответственность за назначение и реализацию предупреждающих действий возлагалась на кого-либо из членов группы по качеству, которые были не в состоянии охватить все вопросы, действительно влияющие на организацию на верхнем уровне и способствующие постоянному улучшению.

Чтобы соответствовать требованиям новой версии стандарта, организациям необходимо планировать и осуществлять действия в ответ на риски и возможности.

Новый стандарт ожидает, что организации будут систематически выявлять и эффективно устранять риски, которые могут повлиять на их способность поставлять соответствующие требованиям продукцию и услуги и удовлетворять потребности клиентов. Он также ожидает, что организации будут определять свои возможности, которые могут повысить их способность поставлять соответствующие требованиям продукцию и услуги, чтобы удовлетворять своих клиентов.

Новый стандарт также ожидает, что организации будут идентифицировать риски и возможности, которые могут повлиять на результативность их Системы менеджмента качества или нарушить работу, а затем определят действия для решения этих рисков и возможностей. Также организации должны определить, как они собираются сделать эти действия частью своих процессовСистемы менеджмента качества, и как они будут осуществлять контроль, оценку и анализ эффективности этих действий и процессов.

Согласно требованиям новой версии стандарта, руководители верхнего уровня должны быть вовлечены в процесс выявления, регистрации, устранения и снижения рисков. Учитывая это, уже с самого начала применения риск ориентированного мышления в организации можно будет увидеть, что оно эффективнее применявшихся ранее предупреждающих действий.

Очень важно, чтобы вопросы выявления рисков и выбора подходящих мер управления рисками выносились на повестку регулярных совещаний руководства. Не менее важным является обеспечение того, чтобы в организации были налажены каналы, по которым все сотрудники на более низком уровне могли бы передавать свое мнение наверх - на рассмотрение управленческой команды.

Тогда организации будут иметь риск ориентированное мышление , возглавляемое командой топ менеджеров, владеющей ключевыми стратегическими знаниями об угрозах и возможностях для бизнеса и одновременно поддерживаемой информацией со всех уровней организации (часть из которой ранее была им не известна и, соответственно, не рассматривалась).

Таким образом, вместо предупреждающих действий, которые ранее, в основном, проводились на более низком уровне, теперь организациям предлагается риск ориентированное мышление, возглавляемое командой топ менеджеров, которая владеет полной и всесторонней информацией. Естественно, что управленческие решения, полученные в результате такого подхода, и последующие действия будут более эффективными на основе участия всей компании, чем ранее существовавший процесс предупреждающих действий.

В то время, как риск ориентированное мышление является теперь частью нового стандарта, тем не менее, стандарт не требует специального документа, описывающего риск ориентированный подход организации. Однако, исходя из моего опыта, лучше, если он будет описан в документе, чтобы обеспечить системность и единообразие применения во всей организации.

Рекомендую также мою статью еще об одном новом требовании в ISO 9001:2015 - понимание контекста организации . Здесь можно скачать бесплатно электронную книгу " ".

Здравствуйте, коллеги. Продолжим разговор о рисках, вернее, уже не о самих рисках, а о риск-ориентированном мышлении.

Сразу скажу, что на эту тему есть официальный документ (разъяснения) ISO/TC 176/SC2/N1284, его неплохо прочесть для того, чтобы понять логику разработчиков ISO9001:2015, поскольку документ этот писали сами же разработчики стандарта. Но он на английском, поэтому я постараюсь объяснить суть риск-ориентированного мышления на пальцах, основываясь на положениях данного документа.


На самом деле, риск-ориентированное мышление - это очень просто. И каждый из нас (если он не клиент психиатра) пользуется им постоянно, но не задумывается об этом.

Каждый раз, принимая осознанное решение (а стандарты ISO требуют принятия решений, основанных на фактах, то есть как раз осознанных решений), мы всегда задаем себе минимум два из следующих 4 вопросов:

Почему я сказал о том, что риск-ориентированным мышлением пользуется любой человек при принятии решения? Давайте попробуем применить эту матрицу вопросов, например, при выборе места перехода автомобильной дороги) Каждый же день переходим через дорогу?

Ситуация: У нас через 30 минут важная встреча в месте до которого нам по прямой через дорогу как раз столько времени идти. Есть подземный переход в 500 метрах от нашего месторасположения. Наземного перехода и светофоров рядом с нами нет. Надо принять решение, перейти дорогу в месте, где мы находимся, или идти до подземного перехода, потом по другой стороне столько же обратно и дальше по маршруту.

ВНИМАНИЕ . Это пример просто из жизни. Все ваши решения должны находиться в рамках существующих правил и законов!

Итак, используем матрицу. Задача: перейти улицу безопасно, и не опоздать на встречу. Самый безопасный вариант - воспользоваться подземным переходом.

1. Что я получу, если этого не сделаю? Я получу возможность попасть на встречу вовремя, однако рискую быть сбитым машиной.
2. Что я получу, если это сделаю? Я рискую опоздать на встречу на 10-15 минут, но перейду дорогу безопасно и без риска для жизни от потока автомобилей на дороге.
3. Что я потеряю, если это сделаю? Вероятно, потеряю клиентов, если те, кто ждут меня на встрече слишком нетерпеливые.
4. Что я потеряю, если этого не сделаю? Я рискую потерять здоровье или жизнь, будучи сбитым машиной.

А дальше идет оценка рисков. Если дорога не сильно широкая, и слева и справа нет машин, то можно было бы и перейти ее с места. Если это шоссе по 6 полос в каждую сторону, то риск быть сбитым возрастает, и лучше потерять клиента, чем жизнь - используем подземный переход.

Согласитесь, такие мысли пролетают в голове за доли секунды и чаще всего человек принимает правильное решение)) Это и есть неосознаваемое риск-ориентированное мышление, присущее каждому из нас. Иногда его еще называют инстинктом самосохранения.

На языке СМК стоит просто заменить слово "(не) сделаю" на "это (не) сделано" и слово "я" на слово "мы".

В принципе, не обязательно чтобы на производстве все обладали таким мышлением. Достаточно одного настырного человека, который сумеет по каждой проблеме сформулировать нужные вопросы и задать их нужным специалистам, а потом собрать все в кучу, сделать анализ, сформулировать доклад и предоставить его высшему руководству для принятия окончательного решения, основанного на фактах .

Например: в отдел технического контроля пришла статистика за год - партия болтов, изготовленная и распроданная по всей стране, имеет несоответствие по диаметру резьбы. Коррекцией тут не обойтись, болты изготовлены уже, их не переделать. Нужны корректирующие действия.

ОТК в сотрудничестве со службой менеджмента качества должен провести исследование причин возникновения несоответствия, выявить корректирующие действия (КД), и по каждому из них провести риск-анализ .

Для начала можно использовать приведенную выше матрицу, потом это все войдет в привычку. Главное - не торопиться, если, конечно, риск выпуска несоответствующей продукции в период проработки корректирующих действий не высок.

Главное - по каждому пункту КД выработать максимальное количество вопросов в соответствии с матрицей, вашей интуицией, вашим опытом и получить на них максимально однозначные и конкретные ответы от тех, кто за эти вопросы отвечает.

Особую роль риск-ориентированное мышление имеет при внедрении чего-то нового на производстве. Нового технологического процесса, оборудования и т.д. При этом на этапе эскизной (концептуальной) проработки проекта внедрения техническим службам завода необходимо обязательно привлекать сотрудников службы управления качеством. А лучше всего - создать на предприятии технический совет, куда обязательно должны входить представители службы качества. В своей статье " " я детально на примере показал, насколько дорого обходятся ошибки на различных уровнях решения проблем.

Если вы собираетесь покупать новый станок - то риск-ориентированное мышление должно подсказать вам, что на этапе согласования параметров станка, условий его приобретения, монтажа, эксплуатации и обслуживания, распределения обязанностей персонала по этим работам и т.д., выловить ошибку и устранить ее проще, чем когда за 2,5 миллиона станок был куплен, а потом стало неясно, как и куда его ставить, где брать запчасти, и кто будет за этот станок отвечать.

Это ведь очень естественно! Не сложнее, чем принять решение о том, где перейти дорогу. Это нормально.

Да, это все сложно внедрить в реальности, но этим заниматься надо! И в первую очередь, это должно понимать руководство. Воля руководства это 50% успеха. Остальное - это наша работа.

А.2 Продукция и услуги

В стандарте ISO 9001:2008 использовался термин «продукция» для охвата всех категорий «выходов». В настоящей редакции данного международного стандарта используется оборот «продукция и услуги». Он также включает в себя все категории «выходов» (технические устройства, услуги, программные средства и перерабатываемые материалы). Введение в оборот термина «услуги» вызвано необходимостью подчеркнуть разницу между продукцией и услугами в контексте применения к ним некоторых требований. Особенностью услуг является то, что, как минимум, часть получаемых результатов достигается при непосредственном взаимодействии с потребителем. Это, например, означает, что соответствие требованиям не всегда может быть подтверждено до того, как услуга полностью предоставлена.

В большинстве случаев «продукция» и «услуги» применяются совместно. Большинство «выходов», которые потребителям поставляет организация или внешние поставщики, включают в себя как продукцию, так и услуги. Например, материальная или нематериальная продукция может сопровождаться некоторыми соответствующими услугами или услуги могут сопровождаться какой-то материальной или нематериальной продукцией.

А.3 Понимание потребностей и ожиданий заинтересованных сторон

Раздел 4.2 содержит требования к организации установить (определить) заинтересованные стороны, имеющие отношение к системе менеджмента качества, и требования этих заинтересованных сторон. Вместе с тем, раздел 4.2 не предполагает расширения требований к системе менеджмента качества сверх рамок области применения данного международного стандарта. Как заявлено в области применения данного международного стандарта, он применяется, когда организация нуждается в демонстрации своей способности постоянно поставлять продукцию и услуги, которые отвечают требованиям потребителей и применимым законодательным и нормативным правовым требованиям, и имеет целью повышение степени удовлетворенности потребителей.

В настоящем международном стандарте нет требования, чтобы организация учитывала интересы каких-то сторон, если она решает, что эти стороны не имеют отношения к ее системе менеджмента качества. Организация сама решает, имеет ли какое-либо конкретное требование соответствующей заинтересованной стороны отношение к ее системе менеджмента качества.

А.4 Риск- ориентированное мышление

Концепция риск- ориентированного мышления неявным образом присутствовала и в предыдущей редакции данного международного стандарта, например в требованиях, касающихся планирования, анализа и улучшения. Настоящий международный стандарт устанавливает требования, чтобы организация понимала свой контекст (условия, в которых она функционирует, см. 4.1), и установила (определила) риски в качестве основы для планирования (см. 6.1). Это отражает применение риск- ориентированного мышления к планированию и внедрению процессов системы менеджмента качества (см. 4.4) и будет помогать в определении объема документированной информации.

Одним из ключевых предназначений системы менеджмента качества является ее функционирование в качестве инструмента предупреждения. По этой причине в настоящем международном стандарте нет отдельно выделенного раздела или подраздела по вопросу предупреждающих действий. Понятие предупреждающих действий выражено посредством использования риск- ориентированного мышления при формулировании требований к системе менеджмента качества.

Риск- ориентированное мышление, примененное в настоящем международном стандарте, создало возможности для снижения безапелляционности требований и замене их на требования, основанные на реальной практике деятельности. Сейчас имеется больше гибкости в требованиях к процессам, документированной информации и распределению ответственности в организации, чем в ISO 9001:2008,

Несмотря на то, что в разделе 6.1 установлено, что организация должна планировать действия по реагированию на риски, не существует требования о наличии официального метода менеджмента рисков или документированного процесса менеджмента рисков. Организация сама может решить, разрабатывать ли ей более обширный подход к менеджменту рисков, чем это требуется в настоящем международном стандарте, например, на основе применения других руководств или стандартов.

Не все процессы системы менеджмента качества обладают одним и тем же уровнем риска, если говорить о способности организации достигать своих целей, и влияние неопределенности – также не одно и тоже для всех организаций. С точки зрения требований раздела 6.1 организация ответственна за применение ею риск- ориентированного мышления и за действия, которые она осуществляет в качестве реагирования на риск, включая решение о том, фиксировать и сохранять или нет документированную информацию в качестве доказательства определения ею рисков.

А.5 Применимость

В настоящем международном стандарте не делается ссылка на «исключения» в отношении применимости его требований к системе менеджмента качества организации. Вместе с тем, организация может проанализировать применимость требований с учетом размеров или сложности организации, принятой модели менеджмента, областей осуществляемой деятельности, а также характера учитываемых ею рисков и возможностей.

Требование, касающееся применимости, содержится в разделе 4.3, где определяются условия, при которых организация может решить, что требование не может быть применено ни к одному из процессов в рамках области применения ее системы менеджмента качества. Организация только тогда может решить, что требование не применимо, когда ее решение не приведет в результате к срыву обеспечения соответствия продукции и услуг.

Управление рисками в области безопасности на предприятии базируется на тех же принципах, которые лежат в основе общей системы управления рисками. Их применение позволит повысить эффективность работы всей организации.

В статье Алексея Сидоренко (генеральный директор, Испания, www.e-xecutive.ru) говорит о том, что управление рисками – это не только инструменты, но и определенный тип мышления. С чего начать построение системы, позволяющей предотвращать угрозы для бизнеса?

1. Оцените, насколько стратегия компании находится «под риском»

Для начала внедрения риск-ориентированного мышления в организации необходимо:

  • Выберите международный стандарт по управлению рисками для внедрения.
  • Подготовьте анализ ключевых стратегических целей с учетом рисков.
  • Декомпозиция стратегических целей.
  • Выявление факторов неопределенности и рисков.
  • Проведите оценку стратегических целей с учетом рисков.
  • Актуализируйте стратегию с учетом рисков.

2. Задайте тон сверху

С целью формирования правильного тона на уровне руководства риск-менеджер может прислушаться к следующим советам:

  • Разработайте высокоуровневую политику по управлению рисками .
  • Документируйте аппетит к различным типам рисков в существующих нормативных документах.
  • Включите обсуждение рисков в повестку дня совета директоров.
  • Рекомендуйте создание отдельного комитета по управлению рисками на уровне правления или расширьте мандат существующего органа управления.
  • Содействуйте развитию управления рисками как внутри компании, так и за ее пределами.
  • Создавайте атмосферу «отсутствия виноватых».
  • Найдите общий язык с менеджерами, ответственными за смежные управленческие системы.
  • Определите заказчиков/пропонентов для внедрения риск-ориентированного управления.

3. Закрепите роли и обязанности по управлению рисками

Четкое распределение и закрепление ролей и обязанностей по управлению рисками важно для создания прочной культуры управления рисками в организации. Мы подготовили следующие пять рекомендаций, чтобы помочь сделать управление рисками ответственностью каждого сотрудника:

  • Выберите модель управления рисками, подходящую для текущего уровня зрелости вашей организации.
  • Документируйте роли и обязанности в области управления рисками в существующих должностных инструкциях, положениях о подразделениях и комитетах.
  • Актуализируйте существующие политики и процедуры с учетом рисков.
  • Чаще проводите оценку культуры управления рисками.
  • Включите мониторинг выполнения обязанностей по управлению рисками в процесс ежегодной оценки персонала.

4. Не усложняйте

Это золотое правило риск-менеджмента : чем проще, тем прозрачнее и понятнее! В качестве риск-менеджера, ваша цель состоит в том, чтобы помочь организации стать более риск-ориентированной. Инициативы риск-менеджмента должны быть понятны каждому и легко встраиваемы в обычную бизнес деятельность; в противном случае, вы, скорее всего, встретите большое сопротивление или будете проигнорированы руководством, что намного хуже.

Говорите на языке бизнеса, не используйте профессиональную терминологию управления рисками в общении с бизнесом. Использование терминов VaR, EaR, CFaR может быть абсолютно приемлемо для общения с финансовым директором, однако директор по производству очень быстро потеряет к вам интерес.

5. Помогите сотрудникам учитывать риски в своей работе

Тут вспоминается знакомая крылатая фраза: «Если гора не идет к Магомету, то Магомет идет к горе». Риск-менеджерам уже пора перестать создавать свою собственную параллельную вселенную, постоянно требуя от бизнеса информации, участия, оценки рисков, специальных мероприятий по управлению этими самыми рисками. Все это не укладывается в сознании бизнеса, который живет совершенно в иной логике, а самое странное, что это полностью противоречит базовым принципам ГОСТ Р ИСО 31000:2010. Помогите бизнесу учитывать риски в своей работе не раз в квартал, а каждый день.

6. Риск-ориентированное стратегическое планирование, бюджетирование и оценка эффективности деятельности

Риск-менеджмент играет важную роль в бизнес-планировании. Анализ влияния рисков на цели компании помогает руководителям существенно расширить свой кругозор, а главное снизить негативное влияние ментальных ловушек на принятие управленческих решений. Управление рисками помогает компании четко выделить и принять риски, связанные со стратегией, которые компания готова взять на себя, те риски, с которыми компания должна справиться любой ценой. Нередко анализ рисков может привести и к полному изменению стратегии, если неприемлемые риски не поддаются управлению или находятся за рамками контроля.

Практически, интеграция элементов управления рисками в бизнес планирование может осуществляться следующим образом:

  • документация аппетита к различным типам рисков в существующих нормативных документах на уровне правления или совета директоров;
  • определение основных рисков и оценка их влияния на стратегические планы и бюджеты компании;
  • применение имитационного моделирования для определения целевых параметров стратегии или бизнес плана с учетом рисков;
  • применение имитационного моделирования (сценарного анализа) для определения целевых параметров бюджета компании с учетом рисков и установление риск-ориентированных КПЭ;
  • интеграция анализа рисков в управленческие, инвестиционные, проектные ииные материальные бизнес решения;
  • оценка эффективности деятельности компании с учетом рисков.

Эффективный риск-менеджмент обеспечивает повышенную уверенность в том, что мы можем добиться желаемых результатов, снизить риски и угрозы до приемлемого уровня, и принимать обоснованные, взвешенные с учетом рисков решения. Некоторые примеры интеграции управления рисками в ключевые компоненты планирования и принятия решений представлены в данном разделе.

7. Создайте сеть «риск-чемпионов» по всей компании

Другой полезный метод, который в настоящее время принимается компаниями со зрелой культурой управления рисками, является создание сети «риск-чемпионов». Они являются «клеем» между командой по управлению рисками и сотрудниками бизнес-подразделений. «Риск-чемпионы» помогают внедрять элементы управления рисками в ключевые бизнес процессы и регламенты внутри организации. Обычно, «риск чемпионами» становятся люди, которые естественным образом мотивированы к эффективному управлению рисками. Сотрудники, ответственные за проектное управление или развитие методологии в различных подразделениях хорошо подходят на роль «риск чемпионов».

8. Проводите обучение по управлению рисками

Риск-менеджмент вряд ли можно назвать краткосрочной инициативой, внедрение элементов управления рисками в процессы принятия решений требует долгой и кропотливой работы. Одним из ключевых компонентов развития риск-ориентированного управления является обучение сотрудников и развитие культуры управления рисками.

В этом разделе мы сгруппировали основные рекомендации, которые помогут укрепить культуру управления рисками в вашей компании:

  • Включите компетенции по риск-ориентированному принятию решений в обучение для новых сотрудников.
  • Проводите обучение для руководителей и совета директоров.
  • Определите и проводите обучение для «риск чемпионов».
  • Сделайте обучение на основе компетентности.
  • Предусмотрите ежегодную внутреннюю сертификацию для сотрудников, работающих в зонах повышенного риска.
  • Используйте также пассивные способы обучения.

9. Принимайте непосредственное участие в оценке рисков проектов или стратегических инициатив

Важно не просто применять анализ рисков при оценке ключевых показателей проектов и принятии управленческих решений, а участвовать в этом непосредственно. В случае возникновения такой возможности риск-менеджеры могут взять на себя личную ответственность за проведение подобного анализа и за его результаты.

Анализ ключевых показателей проекта с учетом рисков должен быть комплексным, при этом результаты должны быть легкими для чтения и понимания топ-менеджерами, которые не являются специалистами в области управления рисками. Влияние неопределенности и рисков на сроки, стоимость или качество проекта должно быть проанализировано максимально прозрачно и по возможности ссылаясь на отраслевые данные, исторические факты или достоверные внутренние и внешние прогнозы.

10. Способствуйте открытому обсуждению рисков

Несколько советов, которые помогут риск менеджерам наладить диалог о рисках:

  • Говорите на языке бизнеса.
  • Включите информацию о рисках во внешние каналы коммуникации компании.
  • Наладьте обмен информацией о ключевых рисках внутри организации.
  • Создайте простые механизмы для эскалации рисков.

11. Не забывайте регулярно тестировать допущения, сделанные менеджментом

Риск-менеджеры играют важную роль в процессе принятия решений, изучая внешнюю среду и анализируя потенциальные факторы риска, которые могут быть не очевидны менеджменту. В последние годы, компании по всему миру становятся все более взаимозависимыми, что дает преимущества в эффективности и инновациях, но и увеличивает подверженность компаний рискам – во многих случаях рискам, о которых они даже не подозревают.

Риск-менеджеры должны выйти за рамки известных текущих проблем, чтобы наблюдать за факторами внешней среды, анализировать взаимозависимости и корреляции, изучать тренды и обращать внимание на «красные флаги».

12. Информируйте руководство о надвигающихся угрозах

Одним из самых важных навыков, которым должен обладать любой риск-менеджер, – это способность информировать руководство о возникающих на горизонте рисках. Это означает наличие процессов для сканирования внутренней и внешней окружающей среды для выявления возникающих рисков, оформление информации надлежащим образом и своевременное ее представление руководству компании. Риск-менеджеры должны уметь интерпретировать сигналы рынка, конкурентов и государственных органов, внутренние риски персонала и изменения в методах работы и производства для выявления рисков. Все это возможно только в том случае, если риск-менеджер принимает непосредственное участие в принятии стратегических бизнес решений совместно с другими руководителями компании. Регулярное общение с руководителями профильных подразделений позволяет менеджерам по управлению рисками выявлять надвигающие угрозы и стать настоящим экспертом в бизнесе, в интересах которого он работает.

13. Проводите анализ рисков по запросу руководства

Иногда руководство может привлекать риск-менеджера для анализа рисков конкретного бизнес-плана или принимаемого решения. Например, руководство может полагать, что негативное влияние валютных колебаний на компанию возрастает слишком быстро, и просит Вас проанализировать масштаб угрозы и определить, совместно с финансовым блоком, возможные решения.

Подобные запросы – это всегда хорошо, и они подчеркивают, что навыки управления рисками пользуются спросом у руководства. Если вы получаете такие запросы, разработайте методологию его выполнения, которая бы соответствовала материальности угрозы, поставленным срокам и доступности информации для анализа. Где возможно, используйте современные инструменты количественного анализа рисков, такие как Palisade Decision Tools или решения SAS. Используйте аналитические источники для моделирования влияния рисков на принимаемые решения, такие так Bloomberg и другие отраслевые базы данных.

14. Создавайте сеть контактов риск-менеджеров из вашей компании и смежных отраслей

Если имеется такая возможность – учитесь у других, устанавливая связи с риск-менеджерами из аналогичных компаний. Вы будете неизменно встречаться с другими риск-менеджерами, на профессиональных онлайн форумах, посещая различные конференции по управлению рисками. Оставайтесь с ними на связи, учитесь друг у друга, и обменивайтесь опытом.

15. Постоянно улучшайте собственные навыки управления рисками

Риск-менеджмент – очень динамичная дисциплина, и вам необходимо оставаться в курсе текущих событий. Постоянная шлифовка собственных навыков управления рисками – это изучении новых методик количественной оценки и управления рисками и, что не менее важно, изучение данных о бизнесе в целом. Дни гуру методологии, не понимающих нюансов бизнеса и особенностей человеческой психологии, канули в лету.

Высшее руководство сегодня ожидает, что менеджеры по управлению рисками будут участвовать непосредственно в процессе принятия решений, разделяя часть ответственности за результат принимаемых решений. В результате, риск-менеджеры должны разбираться в специфике бизнеса и промышленности, в которой они работают, не меньше, чем в особенностях имитационного моделирования рисков и психологии восприятия рисков. Это означает, что участие в конференциях, связанных с вашей отраслью, является столь же важным, как участие в мероприятиях и сообществах для риск-менеджеров. Очень важно, чтобы риск-менеджеры понимали общеотраслевые вопросы и проблемы.

Итак, давайте быстро подведем итоги по некоторым ключевым моментам. Риск-менеджмент – это не только инструменты и техника, но и изменения в культуре и мышлении сотрудников. Для укрепления культуры управления рисками риск-менеджеры могут начать с встраивания элементов анализа рисков в процессы принятия ключевых бизнес решений, помогая задавать тон высшему руководству и определяя роли и обязанности по управлению этими рисками. Начните с малого, но важного, постепенно расширяя область применения риск менеджмента. При этом необходимо помнить, что чрезмерное усложнение процедур и методик может скорее навредить культуре управления рисками, чем принести пользу.

Крайне важно избегать позиционирования управления рисками в качестве отдельной и самостоятельной деятельности, так называемой системы управления рисками. Риск-менеджеры должны в первую очередь интегрировать управление рисками в бизнес. Это может быть достигнуто путем интегрирования элементов анализа рисков в процессы принятия решений, оказания помощи руководству в оценке проектов и стратегических инициатив с использованием инструментов анализа рисков, интегрирование в стратегическое планирование, бюджетирование и управление эффективностью, путем включения обязанностей за управление рисками в должностные инструкции, обучения менеджмента и так далее.

Риск-менеджеры должны стремиться стать востребованными советниками высшего руководства и совета директоров. Советникам, которым доверяют и к чьим рекомендациям прислушиваются. Некоторые примеры включают регулярную оценку рисков на горизонте, критическую проверку допущений менеджмента с учетом рисков при бизнес планировании и предоставление независимой риск экспертизы при обсуждении бизнес решений.