Национальные стандарты управления рисками и принципы их функционирования.
Помимо международных стандартов управления рисками, существуют так же национальные стандарты управления рисками, принятые в государствах с англосаксонским правом (Австралии, Новой Зеландии, Японии, Великобритании, ЮАР, Канаде).
Рис. 3 – История стандартизации управления рисками.
Одновременно с национальными стандартами управления появлялись и многочисленные требования регуляторов к построению и совершенствованию процесса управления рисками компаний, связанных с отраслевой спецификой. Среди отраслевых стандартов управления рисками наибольшую известность получили стандарты, затрагивающие деятельность страховых компаний, перестраховочных обществ (Solvency, Solvency II) и банков (Basel, Basel II, Basel III).
Стандартами в области риск-менеджмента предусматривается унификация:
• используемой терминологии в данной области;
• составляющих процесса управления рисками;
• подходов к построению организационной структуры риск-менеджмента.
Однако, несмотря на проведенную внутри каждого стандарта управления рисками, терминологиями унификацию, методы и цели риск-менеджмента в различных стандартах отличаются. На Рис. 3 представлены национальные и международные стандарты, терминология которых минимально различна. При попытке совмещения различных стандартов возможна путаница, так как дефиниция базовых терминов в них различна.
Стандарт «Управление рисками организаций. Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO). Данный документ представляет собой концептуальные основы управления рисками организаций и дает подробные рекомендации по созданию корпоративной системы управления рисками в рамках организации.
Процесс управления рисками организации в интерпретации COSO состоит из восьми взаимосвязанных компонентов:
1) определение внутренней среды;
2) постановка целей;
3) определение (идентификация) рисковых событий;
4) оценка риска;
5) реагирование на риск;
6) средства контроля;
7) информация и коммуникации;
8) мониторинг.
Таким образом, применительно к определению составляющих процесса управления риском рассматриваемый документ следует уже сложившемуся в стандартах по риск-менеджменту пониманию процесса.
Рис. 4 – КУБ COSO.
В мировой практике стандарт, получивший название «Куб COSO» (Рис. 4), устанавливает взаимосвязь между целями организации (стратегические, операционные цели, подготовка отчетности и соблюдение законодательства), организационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и уже обозначенными компонентами процесса управления рисками.
1. Внутренняя среда
• Закладывает основы подхода к управлению рисками. Включает:
- совет директоров;
- философию управления рисками;
- риск-аппетит;
- честность и этические ценности;
- важность компетенции;
- организационную структуру;
- делегирование полномочий и распределение ответственности;
- стандарты управления персоналом.
2. Постановка целей
• Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение.
• Руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют миссии организации и уровню ее риск-аппетита.
3. Оценка рисков
• Риски анализируются с учетом вероятности их возникновения и степени влияния с целью определения того, какие действия в отношении них необходимо предпринять.
• Риски оцениваются с точки зрения присущего и остаточного риска.
4. Выявление потенциальных событий
• Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности.
• Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.
5. Реагирование на риск
• Руководство выбирает метод реагирования на риск:
- уклонение;
- принятие;
- снижение;
- передача.
• Разработанные мероприятия позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации.
6. Контрольные процедуры
• Политика и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.
7. Информация и коммуникация
• Необходимая информация определяется, фиксируется и передается в форме и сроки, позволяющие сотрудникам выполнять их обязанности.
• Эффективный обмен информацией в рамках организации по вертикали и горизонтали.
8. Мониторинг
• Весь процесс управления рисками организации отслеживается и по необходимости корректируется.
• Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.
Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA) является совместной разработкой Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM)(2002).
В отличие от рассмотренного выше Стандарта COSO ERM в части применяемой терминологии данный стандарт придерживается подхода, принятого в документах Международной организации по стандартизации (Руководство ISO/IEC Guide 73 Risk Management — Vocabulary — Guidelines for use in standards). В частности, риск определяется стандартом как «комбинация вероятности события и его последствий» (рис. 4).
Рис. 5 – Процесс управления риском согласно стандартам FERMA.
Риск-менеджмент рассматривается как центральная часть стратегического управления организацией, задачей которой является идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая система управления рисками должна включать в себя программу контроля над выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации.
В соответствие со Стандартом FERMA выделяют четыре группы рисков организации: стратегические, операционные и финансовые, а также риски опасности.
Кроме того, в документе приведены:
1. Краткая характеристика ключевых стадий процесса риск-менеджмента, в рамках которой обращает на себя внимание подробное описание требований к детализации информации в отчетах о рисках в зависимости от потребителя данной информации (среди потребителей внутренних отчетов — совет директоров компании, ее отдельная структурная единица, конкретный сотрудник организации; внешних отчетов — внешние контрагенты организации). В частности, отчет о рисках компании для внешних пользователей информации должен включать описание:
• методов системы внутреннего контроля, а именно характеристику зон ответственности менеджмента организации в вопросах управления рисками;
• способов идентификации рисков и их практического применения в действующей системе управления рисками организации;
• основных инструментов системы внутреннего контроля в отношении наиболее значимых рисков;
• действующих механизмов мониторинга и слежения за рисками.
2. Описание организационной структуры управления риском (совет директоров — структурная единица — риск-менеджер), а также основных требований к разработке нормативных документов в области риск-менеджмента на корпоративном уровне (Программа по управлению риском организации).
В приложении к стандарту даны примеры используемых на практике методов и технологий анализа рисков. Одним из наиболее полных и проработанных национальных стандартов в области управления риском эксперты признают Стандарт по риск-менеджменту Австралии и Новой Зеландии. Стандарт AS/NZS 4360 имеет общий (внеотраслевой) характер, его основные положения адаптированы для построения систем управления риском рядом транснациональных компаний.
Рис. 6 – Процесс управления риском, по стандарту AS/NZS 4360
Согласно Стандарту AS/NZS 4360 управление риском на уровне компании представляет собой совокупность пяти последовательно сменяющих друг друга стадий и двух процессов сквозного характера (рис. 6). При этом под управлением риском в стандарте понимается «совокупность культуры, процессов и структур, ориентированная на использование потенциальных возможностей при одновременном управлении негативными воздействиями».
Стадия 1. Определение окружения (среды)
Среди факторов, определяющих необходимость анализа и идентификации внутренней среды компании, следует выделить следующие:
• управление риском должно осуществляться в контексте определенных целей и задач организации;
• одним из основных рисков компании является возникновение препятствий в процессе достижения поставленных стратегических, операционных, проектных и прочих целей;
• четкая формулировка принципов организационной политики и целей компании будет способствовать определению основных направлений корпоративной политики в области управления рисками;
• цели и задачи компании по сегментам деятельности, а также целевые ориентиры, формируемые при реализации отдельных корпоративных проектов, должны рассматриваться в соответствии с целями компании как единое целое. В рамках рассматриваемой стадии управления риском также определяют спектр целевых показателей деятельности, составляют перечень элементов стратегии компании, параметров ее функционирования, на которые будут влиять процессы риск-менеджмента, обеспечивают баланс возможных затрат и выгод (так называемый этап идентификации среды риск-менеджмента). Также следует определить требуемые ресурсы и учетные процедуры.
Стадия 2. Идентификация рисков
На данной стадии должны быть идентифицированы риски, обусловленные особенностями внешней и внутренней среды, проанализированной на предыдущем этапе: рассматриваются все возможные источники риска, а также имеющаяся информация о восприятии риска (осознание риска) причастными сторонами, как внутренними по отношению к организации, так и внешними. Особые требования предъявляются в отношении качества информации (максимально возможный уровень релевантности, полноты, точности и временного соответствия при имеющихся ресурсах на ее получение) и ее источников. Важно, чтобы персонал, задействованный в идентификации рисков, обладал всей полнотой знаний о процессах или деятельности, которые подвергаются анализу. Последнее обусловливает необходимость участия в данном процессе специальных рабочих групп, составленных из экспертов различного профиля.
Стадия 3. Анализ рисков
Результатом прохождения рассматриваемой стадии является определение уровня риска, отражающего оценки последствий и вероятности рисковых событий. Используют количественный и качественный анализ. Ценность и значение качественного анализа существенным образом повышаются в случае, если определение риска формируется широким кругом причастных сторон.
Стадия 4. Оценивание рисков
Задачей данной стадии является принятие решения о допустимости/недопустимости риска (в отношении допустимого риска не применяются процедуры обработки риска, предусмотренные стадией 5 рассматриваемого процесса управления риском).
Оценка риска предполагает исследование уровней подконтрольности рискового события, затрат на осуществление воздействия, потенциальных издержек и выгод, связанных с рисковым событием. Результаты работы экспертов на данной стадии могут потребовать пересмотра критериев риска, установленных на первой стадии процесса (таким образом, решается задача обеспечения попадания всех значимых рисков в область анализа).
Стадия 5. Обработка риска
На данной стадии осуществляется работа с оцененными и ранжированными рисками, в отношении которых принято решение об их неприемлемости/недопустимости для компании в соответствии с критериями, определенными на начальных стадиях рассматриваемого процесса управления рисками. Альтернативные варианты обработки рисков:
• Избежание риска, осуществляемое, либо посредством прекращения деятельности, сопряженной с недопустимым для компании уровнем риска, или выбора других, более приемлемых направлений деятельности, отвечающих задачам организации, либо в ходе избрания альтернативной, менее рисковой методологии в отношении организации рассматриваемого процесса или направления деятельности.
• Снижение вероятности реализации рискового события и (или) возможных последствий реализации; важно учитывать, что должен быть найден баланс между уровнем риска и издержками, сопряженными со снижением риска до заданного уровня. Когда разработанные подходы к снижению риска отнесены к категории оправданных, одновременно имея высокие издержки реализации, необходимые затраты требуют бюджетирования. Рекомендованные в рамках данной альтернативы процедуры: контроль; улучшение процессов; тренинги и повышение квалификации персонала; аудит и определение соответствия установленным правилам.
• Разделение риска с третьими сторонами. Необходимо учитывать, что передающая сторона сталкивается с новым риском, связанным с неспособностью принявшей риск организации эффективно управлять им.
• Удержание риска. Данная альтернатива применяется в отношении остаточных, а также не выявленных рисков.
Заключение
Несмотря на различия в целях и методах управления рисками, каждый стандарт утверждает необходимость непрерывности процессов мониторинга и контроля рисками.
Оценка рисков является неотъемлемой частью управления рисками, который предусматривает структурированный процесс, ставящий целью выявление того, какие цели организации могут быть затронуты рисками. Оценка рисков используется для анализа рисков с точки зрения последствий и их вероятности, до того, как организация примет решение о дальнейших мерах, если это потребуется.
Оценка рисков предоставляет лицам, принимающим решения, а также ответственным сторонам четкое понимание рисков, которые могут повлиять на достижение целей, а также информацию об адекватности и эффективности контроля. Стандарт обеспечивает основу для принятия решения о наиболее целесообразном подходе, он будет использоваться для принятия решения для конкретных рисков, а также выбора между различными вариантами.
Выбор определенного стандарта в качестве основного для предприятия является серьезной задачей, иногда, организация пользуется несколькими стандартами одновременно, что приводит к неопределенностям в процессах управления рисками. Выбор стандарта управления рисками или его сбалансированное расширение требует детального понимания требований каждого стандарта и способов их практического применения (внедрения), а так же, зависит от уровня зрелости как процессов управления рисками, так и процессов управления информационными технологиями организации.
Список использованной литературы.
1. ГОСТ 1.1-2002 «Межгосударственная система стандартизации. Термины и определения».
2. ГОСТ Р 51897 – 2002 «Менеджмент риска. Термины и определения».
3. Управление рисками организаций. Интегрированная модель. Краткое изложение COSO, 2004.
4. Управление рисками организаций. Интегрированная модель // «Риск-менеджмент», №№ 5–6, 7–8, 9–10, 11–12, 2007; 1–2, 2008.
5. Стандарты управления рисками Федерации европейских ассоциаций риск-менеджеров, 2003.
6. Я. Филопулос. Формирование политики и институциональная основа оценки риска в ЕС. Рекомендации по созданию в стране системы оценки риска.
7. AS/NZS 4360:2004 - Risk Management, issued by Standards Australia.121
8. CSA (1997) Risk Management: Guideline for Decision-Makers – A National Standard of Canada / Canadian Standards Association (1997 reaffirmed 2002) CAN/CSA-Q850-97.
9. Draft International Standard ISO/DIS 31000 «Risk management – Principles and guidelines on implementation», ISO, 2008.
10. Kevin W. Knight. Risk Management – a journey, no destination. January, 2006.
11. Kevin W. Knight. Risk Management: an integral component of corporate governance and good management. ISO Bulletin, October 2003.
12. Marc Saner. Information Brief on International Risk Management Standards. Institute On Governance, Canada, 30 November 2005.
13. Enterprise Risk Management – Integrated Framework Executive Summary.-Committee of Sponsoring Organization of the Treadway Commission (COSO), 2004.
14. ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты.