Формирование системы менеджмента риска компании
Журнал «Методы менеджмента качества», № 2 за 2010 год
Больше рискует тот, кто не рискует
И. Бунин
В статье предпринята попытка рассмотреть современную методологию менеджмента риска компании на основе положений ГОСТ Р 51897 [1], разработанного в соответствии с Руководством ISO/IEC 73 [2]. Статья подготовлена автором по материалам доклада, прозвучавшего на Международной конференции «От менеджмента качества к качеству менеджмента и бизнеса», 6–8 октября 2009 г. в Санкт-Петербурге.
Общепризнано, что деятельность любой бизнес-компании сопряжена с многочисленными рисками. При этом особенно опасны риски финансовых потерь, обусловленные чаще всего непредсказуемыми изменениями во внешней среде, плохим менеджментом, нехваткой опыта и квалификации персонала компании, отсутствием источников дополнительного финансирования. В конечном итоге финансовые потери могут привести компанию к банкротству.
В самом общем смысле под риском принято понимать возможность наступления некоего неблагоприятного события (риск всегда существует тогда, когда нет твердой уверенности в положительном исходе, но все же имеется надежда на успех). Более строгое определение термину «риск» приводится в ГОСТ Р 51897: риск — это сочетание вероятности события и его последствий. Вероятность является мерой того, что событие, т.е. специфический набор обстоятельств, при которых происходит явление, может произойти. В математической интерпретации вероятность — действительное число в интервале от 0 до 1, относящееся к случайному событию. Это число отражает относительную частоту в серии наблюдений или степень уверенности в том, что некое событие произойдет. Для высокой степени уверенности вероятность близка к 1.
Сегодня в поле зрения руководителей компаний особое место начинает занимать менеджмент риска, или риск-менеджмент. Суть риск-менеджмента заключается не в исключении рисков, что просто невозможно, а в их оптимизации и получении максимальной выгоды от складывающихся ситуаций посредством скоординированных действий по руководству и управлению в отношении рисков.
По свидетельству специалистов [3], еще в конце прошлого века риск-менеджмент даже в самых успешных компаниях мира рассматривался в качестве фрагментарного, узкоспециализированного подхода. Так, управление страховыми, технологическими, финансовыми и экологическими рисками носило независимый друг от друга характер и рассредоточивалось по различным подразделениям компании, следствием чего являлось отсутствие координации их действий, а новые риски выявлялись с большим запозданием. В настоящее время в мировой практике имеет место переход к новой парадигме риск-менеджмента, предусматривающей комплексное рассмотрение рисков всех подразделений и всех направлений деятельности компании. В соответствии с этим риск-менеджмент перестает быть заботой отдельных специалистов (финансистов, маркетологов, производственников и т.д.), а выходит на стратегический уровень высшего руководства компании и приобретает системный характер. Свидетельством этому является включение в международные стандарты на системы менеджмента требований необходимости управления рисками [4].
Как составная часть общего менеджмента компании риск-менеджмент реализуется в рамках системы менеджмента риска (СМР), концептуальная модель которой представлена на схеме 1.
Рассматриваемая модель СМР базируется на процессном подходе. В состав процессов системы входят: идентификация риска, анализ риска, оценка риска, обработка риска, коммуникация риска и постоянное улучшение системы.
Ключевую роль в СМР играет причастная сторона, т.е. любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию риска или ощущать себя подверженными его воздействию [1]. Причастная сторона может включать заинтересованную сторону (владельца, потребителя, поставщика, инвестора, сотрудника компании, общество), которая хочет, чтобы компания выявляла свои риски и управляла ими, а также конкретное лицо, принимающее решение.
Причастная сторона в лице руководства компании устанавливает требования к оптимизации рисков компании (вход в СМР), оценивает степень выполнения этих требований (удовлетворенность) и определяет необходимость улучшений в СМР.
Схема 1
Деятельность в СМР начинается с осознания риска. Согласно ГОСТ Р 51897—2002, осознание риска представляет собой набор ценностей и задач, в соответствии с которыми причастная сторона рассматривает конкретный риск. Осознание риска зависит от потребностей, опыта и знаний причастной стороны. Оно может быть основано не только на объективных знаниях, но и на интуиции. В осознании риска немаловажное значение имеет психологический аспект. Психологи отмечают, что люди проявляют большую терпимость к частым рискам, распределенным во времени.
К этому следует добавить, что некоторые испытывают антипатию к риску, предпочитая не думать о нем, другие ощущают тревогу по поводу высокой степени риска. В то же время, кто крупно не рискует, тот, как известно, и «не пьет шампанского».
Осознание риска предопределяет «запуск» цикла процессов менеджмента риска. Рассмотрим более подробно особенности этих процессов.
Идентификация риска — процесс нахождения, составления перечня и описание элементов риска. К числу последних относят источники рисков или опасности, возможные угрозы, события, последствия и вероятность.
При комплексном подходе к менеджменту риска важно выявить наиболее полный состав рисков в деятельности компании. Одним из методических средств решения этой задачи может стать классификация рисков. Чаще всего выделяют виды рисков, показанные на схеме 2, где видно, что наиболее объемная группа рисков связана со сферой деятельности компании. Примеры некоторых наиболее распространенных рисков приведены в табл. 1.
В соответствии с принятой в компании классификацией рисков выбираются те из них, которые поддаются воздействию силами компании. Эти риски включаются в соответствующий перечень, одна из возможных форм которого приведена в табл. 2. Естественно, что неидентифицированные, т.е. нераспознаваемые риски не включаются в перечень и не подлежат дальнейшему анализу.
При составлении перечня рисков особое внимание должно быть уделено описанию элементов риска.
Схема 2. Классификация видов рисков в компании
Таблица 1. Риски в различных сферах деятельности компании
|
Виды рисков |
Риски |
|
Финансовые |
Кредитный риск. Валютный риск. Инвестиционный риск. Инфляционный риск. Снижение доходности. Рост цен на сырье и материалы. Упущенная финансовая выгода. Снижение оборачиваемости активов и др. |
|
Коммерческие |
Колебание рыночной конъюнктуры. Невыполнение контрактных обязательств со стороны поставщиков, потребителей, партнеров и др. Неустойчивый спрос на продукцию (услуги) компании и др. |
|
Производственные |
Риск, связанный с изношенностью оборудования. Риск, связанный с отсутствием резерва мощности. Несвоевременный или некачественный ремонт оборудования. Внеплановые простои оборудования. Технологический риск и др. |
|
Экологические |
Негативное воздействие деятельности компании на окружающую среду. Образование трудноликвидируемых отходов. Проявление стихийных сил природы (землетрясение, наводнение, ураганы и т.п.) и др. |
|
Безопасности |
Нарушение условий, обеспечивающих профессиональное здоровье и безопасность сотрудников компании. Утрата коммерческой и технологической информации вследствие ее недостаточной защиты. Утрата имущества компании и др. |
|
Социальные |
Социально-психологические конфликты в коллективе. Отсутствие необходимой мотивации персонала. Низкая корпоративная культура. Недостаточная компетентность сотрудников и др. |
|
Политические |
Изменения законодательства в области налогообложения. Конфликты с государственными органами власти. Нестабильная политическая ситуация в стране и др. |
Таблица 2. Форма перечня рисков компании (пример)
|
Вид риска |
Наименование риска |
Процесс (вид деятельности, рабочее место), подверженный риску |
Элементы риска | |||
|
Источник риска или опасности |
Рисковое событие |
Негативные последствия рискового события |
Вероятность наступления рискового события | |||
Источник риска. В общем случае источниками риска могут быть: неопределенность (неполнота или неточность) информации о событиях, случайность события, противодействие. Применительно к безопасности источник риска представляет собой опасность, т.е. то, что может привести к травме или ухудшению здоровья сотрудников, негативному воздействию на окружающую среду, утере конфиденциальности информации. Необходимо, чтобы никакие существенные источники (причины) риска не были упущены при анализе.
Рисковое событие. Событие, оказывающее негативное воздействие на процесс (вид деятельности). Примерами рискового события могут быть: снижение курса рубля, рост цен на сырье и материалы, падение спроса на продукцию компании, авария основного оборудования, нарушение техники безопасности и др.
Негативные последствия рискового события зависят от вида риска и характера конкретного рискового события. Например, возникновение несчастного случая, связанного с профессиональной деятельностью, может стать основанием судебного разбирательства. Несоблюдение компанией договорных обязательств перед потребителями может привести к расторжению контрактов, возмещению финансового и морального ущерба, а также к потере деловой репутации компании.
Вероятность наступления рискового события определяется путем анализа и оценивания риска.
Анализ риска представляет собой процесс систематического использования информации для оценивания риска и разработки соответствующих мероприятий. Используемая информация может включать данные накопленного опыта деятельности компании, теоретические расчеты, результаты анализа суждений специалистов, менеджеров и других причастных лиц.
При анализе риска может быть использован качественный или количественный подход.
Качественный подход базируется на чувственном восприятии результатов деятельности и представляет собой профессиональное суждение о вероятности наступления рискового события и его негативных последствиях. При этом используются практика и накопленный опыт, консультирование, анкетные опросы и экспертные методы оценки. Одним из инструментов экспертных методов может служить матрица рисков, возможный вариант которой показан на рис. 1 [5]. С помощью такой матрицы участники анализа оценивают вероятность наступления рискового события и последствие наступления рискового события и уровень риска. По матрице можно установить и условную зону допустимого риска: на рис. 1 такая зона лежит слева от жирной границы, разделяющей матрицу. Из матрицы видно, что увеличение вероятности наступления рискового события или размера последствия его наступления влечет за собой увеличение уровня риска.
К методам качественного анализа относятся также опросные листы типа «Что будет, если...», «Дерево отказов» и «Дерево событий», сценарный анализ и др. Качественный подход привлекателен своей сравнительной простотой, однако носит субъективный характер, а значит не обладает достаточной достоверностью и надежностью.
Качественный анализ можно считать достаточным для определения вероятности наступления рискового события (см. табл. 2), ранжирования рисков компании по их уровням (от низкого до высокого) и определения допустимых (приемлемых) рисков. Ранжирование рисков позволяет определить последовательность действий, направленных на минимизацию рисков.
В отличие от качественного количественный подход базируется на использовании математического аппарата: теории вероятностей и математической статистики. Такой подход предусматривает присвоение числовых значений вероятности последствий риска. Количественная оценка риска может учитывать стоимость, выгоды, интересы причастных сторон и другие переменные, рассматриваемые при оценивании.
Количественный анализ является основным при оценивании риска.
Оценивание риска — процесс сравнения числовых значений количественно оцениваемого риска с выбранными для определения его значимости критериями.
В научной и специальной литературе приведен большой арсенал довольно сложных методов, применяемых для количественного оценивания риска, например: метод Монте-Карло, имитационное моделирование, динамическое программирование, теория игр, цепи Маркова и др. В таких методах, как правило, используется сложный вычислительный аппарат, большой объем исходной информации, основанной на статистических данных.
Степень распространения количественных методов оценки риска в практике бизнес-компаний различна. Как свидетельствуют специалисты [6], уже несколько лет назад эти методы прочно утвердились во всех западных и большинстве российских финансовых институтов, бизнес которых связан с «покупкой и продажей рисков», и постепенно приживаются в крупных российских компаниях, например сырьевой сферы и энергетики. В банковском и инвестиционном деле получил применение такой специфический метод измерения риска, как подсчет «денег под риском».
Количественные методы оценивания риска используются в отдельных сферах корпоративного менеджмента. Например, в ряде современных российских компаний уже давно успешно применяются достаточно сложные системы контроля кредитного риска. При предоставлении потребителям товарного кредита устанавливаются лимиты — как временные (например, на сроки оплаты отгрузки), так и денежные (например, на величину товарного кредита). Эти лимиты отслеживаются и контролируются, а система полномочий руководителей отделов продаж по превышению лимитов формализована таким образом, чтобы отследить результаты соответствующего управленческого решения и по его итогам оценивать работу соответствующих отделов. Это позволяет находить связь между управлением рисками, системой мотивации персонала компании при определении вклада сотрудника или подразделения в общий финансовый результат с учетом уровня риска, которому сотрудник или подразделение подвергает компанию.
Таблица 3. Шкала значимости риска
|
Значимость риска (W) |
Показатель значимости риска |
Последствия наступления рискового события |
|
Крайне низкая |
1 |
Царапины, синяки, небольшой порез. Травма позволяет нормально работать после первой помощи. Обычно отсутствует потеря рабочего времени |
|
Низкая |
2 |
Более серьезный порез, растяжение связок, легкий вывих суставов, незначительные ожоги. После оказания помощи невозможно сразу же приступить к работе |
|
Умеренная |
3 |
Значительные ожоги, серьезные переломы, ампутация (например, фаланги пальца), проходящие повреждения спины, серьезная травма. Потеря рабочего времени |
|
Высокая |
4 |
Серьезная травма (перелом, ампутация). Длительная нетрудоспособность |
|
Крайне высокая |
5 |
Один или несколько случаев летального исхода. Судебное разбирательство |
Таблица 4. Шкала вероятности наступления рискового события
|
Вероятность наступления рискового события (Р) |
Показатель вероятности |
Характеристика вероятности наступления рискового события |
|
Отсутствует |
1 |
Несчастный случай или авария могут произойти лишь в исключительных обстоятельствах. В числовом выражении: 1:107 в год |
|
Возможно |
2 |
Несчастный случай или авария могут произойти при наличии нескольких факторов. В числовом выражении: 1:105 в год |
|
Вполне возможно |
3 |
Несчастный случай или авария могут произойти только при отклонении от нормальной работы. В числовом выражении: 1:104 в год |
|
Вероятно |
4 |
Несчастный случай или авария возникает при постоянном отклонении от нормальной работы, их трудно избежать. В числовом выражении: 1:103 в год |
|
Вполне вероятно |
5 |
Несчастный случай или авария при постоянном отклонении от нормальной работы, они практически неизбежны |
Отметим, что количественные методы уже имеют достаточно продолжительную практику применения для оценки риска выпуска продукции, не удовлетворяющей требованиям потребителей. С этой целью используются планы статистического регулирования технологических процессов. Эти планы разрабатываются с учетом рисков поставщика а и потребителя р. Сумма а и р характеризует вероятность неправильных оценок качества продукции, а разность (1 — а) и (1 — р) — достоверность статистического регулирования.
В простейшем случае количественное оценивание уровня риска проводится по формуле: R = WP, где W — значимость риска, Р — вероятность наступления рискового события в условных единицах (например, от 1 до 5).
Значимость риска и вероятность наступления рискового события могут определяться посредством специально разработанных в компании шкал. В табл. 3 и 4 приведены примеры таких шкал, используемых в условной компании для оценки рисков, связанных с опасностями для профессионального здоровья и безопасности.
По вычисленному с использованием шкал табл. 3 и 4 уровню риска R устанавливается его качественный уровень. Например, риск считается незначительным, если 0 < R < 2, и значительным, если R > 2.
Наличие шкал, приведенных в табл. 3 и 4, позволяет сформировать в компании Реестр уровней рисков, одна из форм которого приведена в табл. 5.
Таблица 5. Форма Реестра уровней рисков
|
Процесс (вид деятельности, операция, рабочее место) |
Значимость риска (W) |
Вероятность наступления рискового события (P) |
Показатель уровня риска (R) |
Качественная характеристика уровня риска (Нз — незначительный риск, Зн — значительный риск) |
Необходимо, чтобы количественная оценка риска была увязана с возможными потерями или ущербом, наносимыми компании. Объективное оценивание риска создает необходимые предпосылки для обработки риска.
Обработка риска. Данный процесс включает выбор и осуществление мер по модификации риска, исходя из результатов оценки риска. В зависимости от выявленного уровня риска в конкретной области деятельности компании, поставленных ею задач и критериев риска, возможны следующие варианты по модификации риска: предотвращение, оптимизация, перенос или сохранение.
Предотвращение (избежание) риска предусматривает принятие решения не быть вовлеченными в рискованную ситуацию. Изначальная направленность на избежание риска представляется наиболее разумным решением. Тем не менее надо понимать, что бизнесом, не рискуя, невозможно заниматься. Поэтому такое решение должно быть строго обоснованным.
На случай наступления форс-мажорных обстоятельств предусматриваются различные возможности уменьшения негативных последствий (например, за счет резервированных денежных средств из специально созданных для этой цели фондов, резервных производственных мощностей и др.) Вместе с тем, в соответствии с принципами деловой предосторожности, практикой риск-менеджмента установлены такие простые правила предотвращения риска, как: не рисковать, если это возможно, и не рисковать большим ради малого [7].
Оптимизация риска направлена на минимизацию негативных и максимальное использование позитивных последствий рисковых событий и соответственно вероятности их наступления. С точки зрения безопасности оптимизация риска направлена на его снижение. При оптимизации риска должны учитываться критерии риска (технологические, финансовые, юридические, экологические, безопасности и др.), стоимость предпринимаемых действий и законодательные требования, относящиеся к области деятельности.
Перенос риска предусматривает разделение с другой стороной бремени потерь (или выгод) от риска. Передавать часть ответственности за риск целесообразно тем лицам или организациям (например, венчурным компаниям), которые лучше других могут контролировать риск. Теория надежности показывает, что с увеличением числа параллельных звеньев в системе вероятность отказов в ней снижается пропорционально числу этих звеньев. Поэтому перенос риска на других участников повышает надежность в достижении положительных результатов. Способами переноса риска могут быть: страхование рисков, имущества, оборудования, транспорта, строительных объектов и др.; внешние заимствования; фьючерсные сделки; покупка опционов и др. Следует иметь в виду, что перенос риска может создать новый риск (например, банкротство банка, с которым заключен договор о страховании). Кроме того, законодательство или обязательные требования к компании могут ограничивать или запрещать перенос риска (впрочем, как и поручить перенос определенного риска).
Сохранение риска предусматривает принятие бремени потерь или выгод от конкретного риска. Сохранение риска не включает его перенос.
Обработка риска может быть представлена в графической форме, показанной на рис. 2. Указанный на схеме остаточный риск представляет собой риск, остающийся после обработки. Остаточный риск является свидетельством того, что полностью устранить риск практически невозможно. При этом остаточный риск может быть настолько малым, что принятие каких-либо действий в отношении него не будет стоить затраченного времени и труда. Такой риск может считаться допустимым. В остаточный также может быть включен и неидентифицированный риск.
Выбор стратегии в отношении выявленных рисков во многом зависит в конечном счете от типа руководителя, являющегося главным риск-менеджером компании. Известно, что руководители консервативного типа, не склонные к новациям, обычно стараются уйти от любого риска. Прогрессивные руководители стремятся к более рискованным решениям, если риск доброволен, т.е. связан со свободой выбора. В затруднительных ситуациях такие руководители ориентированы на более рискованные решения, если уверены в профессиональности исполнителей. Известно, что коллективные решения являются, как правило, более рискованными, чем индивидуальные, поскольку здесь присутствует социально-психологический эффект «рассеивания» ответственности.
Коммуникация риска — процесс обмена информацией о риске или совместное использование этой информации лицами, принимающими решение, и другими причастными лицами. Информация о риске может касаться его природы, вероятности, формы, тяжести, приемлемости, мероприятий или других аспектов риска. В этом контексте коммуникацию риска следует рассматривать как обеспечивающий процесс в отличие от процессов идентификации, анализа, оценивания и обработки риска, которые следует отнести к основным процессам СМР.
Реализация процессов СМР сопровождается разработкой соответствующих мероприятий по каждому принятому риску и последующему управлению этим риском. Согласно ГОСТ Р 51897—2002, управление риском может включать мониторинг, переоценивание и действия, направленные на обеспечение соответствия принятым решениям.
Формирование СМР в компании предполагает принятие политики и установление целей в области рисков, планирование работ в системе, обеспечение функционирования, анализа и улучшения системы. СМР должна быть надлежащим образом документирована. Ответственность за разработку и внедрение СМР должна возлагаться на специально назначенного представителя руководства (главного риск-менеджера). По мнению президента компании Lucent Alcotel Бена Верваена, высказанного на заседании «китайского Давоса», сегодня надо вводить в компании позицию риск-менеджера, который мог бы взять на себя выработку рекомендаций по принятию рискованных решений в противовес таким риск-менеджерам, которые любой ценой пытаются избежать любого риска [8]. В ряде случаев целесообразно, чтобы такому риск-менеджеру была придана группа специалистов (в западной практике такие группы называют комитетами по риск-менеджменту). Группа риск-менеджмента должна взаимодействовать со всеми подразделениями компании, помогая им провести моделирование рисков.
Грамотно построенную систему менеджмента риска необходимо рассматривать как один из компонентов хорошего корпоративного менеджмента, а не как простое его дополнение. Существенно, что созданная в интересах компании и ее заинтересованных сторон, СМР предотвращает утрату важных для бизнеса активов, помогает избежать противоречий с законодательством и сохранить деловую репутацию компании на рынке. При этом следует исходить из того, что потери от отсутствия в компании менеджмента риска могут быть несоизмеримо большими, чем затраты на его осуществление.
В заключение отметим, что значительную помощь в развитии работ по менеджменту риска в российских компаниях должен оказать стандарт ISO 31000 «Общие указания по принципам и реализации менеджмента риска», который введен в действие 13 ноября 2009 г.
Список использованной литературы
1. ГОСТ Р 51897—2002. Менеджмент риска. Термины и определения.
2. Руководство ISO/IEC 73:2000. Менеджмент риска. Терминология.
3. Бартон Т., Шенкер У., Уокер П. Комплексный подход к риск-менеджменту: стоит ли этим заниматься: Пер. с англ. — М.: ИД «Вильямс», 2003.
4. Руководство ISO 72:2006. Руководящие указания по обоснованию и разработке стандартов системы менеджмента.
5. Терехов В. Искусство рисковать // Управление компанией. — 2007. — № 11. — C. 64–67.
6. Малышев А. Управление рисками бизнеса // Управление компанией. — 2004. — № 5. — C. 68–71.
7. Станиславчик Е.Н. Риск-менеджмент на предприятии. Теория и практика — М.: «Ось-89», 2002
8. Завадский М. Придется потрудиться // Эксперт. — 2009. — № 36. — C. 67–69.
