Scientific journal
Fundamental research
ISSN 1812-7339
"Перечень" ВАК
ИФ РИНЦ = 1,674

RISK MANAGEMENT MATURITY MODEL EFFICIENCY ASSESSMENT

Brykalov S.M. 1 Kuznetsova N.A. 1 Trifonov V.Yu. 1 Trifonov Yu.V. 2
1 JSC «Afrikantov OKBM»
2 Lobachevsky National Research Nizhny Novgorod State University
The risk management processes are considered as a set of coordinated measures to guide and control the organization’s action plan for risky events. It is highlighted that the risk management implementation can be challenging for organizations. This article provides an analysis of the developed risk management maturity models of foreign and Russian organizations. Conclusions about the possibility of proposed models’ applicability for nuclear industrial enterprises are drawn. The original analytical approaches and the practical example of the author’s risk management maturity model, which can be applied in different industries and may be of interest to scientists and risk management professionals, are described. The suggested methodology is based on risk management maturity model which includes three levels: «Partial», Integrated, «Risk-oriented», each with its own certain. The purpose is to provide organizations with an universal assessment tool that is in need to be used to define organization’s risk management maturity current level. The proposed risk management maturity model can be also used as a reference to improve risk management system. The research results can be used to develop an action plan for improving the risk management process.
Nuclear industry
organization
risk management maturity model
risk management

Возникновение рисков, как положительных (риски-возможности), так и отрицательных (риски-угрозы), неизбежно в любом виде деятельности, так как абсолютно любая деятельность окружена той или иной степенью неопределенности. Многие научные исследователи, практикующие специалисты в области управления рисками, руководители малого, среднего и крупного бизнеса считают, что управление рисками снижает уровень неопределенности и в итоге увеличивает вероятность успеха проекта, предприятия.

За последние десятилетия деятельность по управлению рисками все больше привлекает внимание и становится обязательной во многих крупных промышленных предприятиях и организациях.

Так, согласно исследованию [1] в 2015 г. в каждой второй компании РФ с государственным участием управление рисками как функция отсутствовало вовсе, при этом обособленное подразделение по управлению рисками было только в каждой третьей компании. По итогам 2019 г. обособленное подразделение по управлению рисками существует уже у 70 % опрошенных компаний и в 30 % – управление рисками находится в одном структурном подразделении с внутренним аудитом или внутренним контролем.

Несмотря на это, нельзя сказать, что практика управления рисками интегрирована в деятельность организаций, а также в процессы принятия решений и в общий подход к управлению (здесь и далее под «управлением рисками» понимается управление как отрицательными (угрозами), так и положительными рисками (возможностями)).

Внедрение систем по управлению рисками является на сегодняшний день не столько осознанной руководителем организации необходимостью, сколько обеспечением требований международных стандартов в области систем менеджмента [2–4], сертификация по которым дает организации ряд неоспоримых преимуществ, таких как повышение качества и конкурентоспособности продукции, расширение рыночных возможностей, повышение культуры менеджмента и уровня управляемости и др.

В настоящее время при первичной и/или повторной сертификации организаций на соответствие деятельности требованиям [2–4] внешними аудиторами особое внимание уделяется проверке в том числе выполнения организациями раздела 6.1 «Действия по обработке рисков и реализации возможностей», который требует, чтобы при планировании систем менеджмента организация:

- определяла риски и потенциальные возможности;

- планировала действия по обработке этих рисков и реализации возможностей;

- планировала то, каким образом встраивать эти действия в процессы системы менеджмента и выполнять их;

- оценивала результативность этих действий.

Отсутствие подтверждённых задокументированных процедур по управлению рисками в области систем менеджмента качества, экологического менеджмента и менеджмента в области охраны здоровья и обеспечения безопасности труда (ОЗиОБТ) является основанием для выдачи аудиторами критических несоответствий и принятии ими решения о неготовности предприятия к сертификации или отзыву сертификата соответствия (при процедурах ресертификации).

Кроме того, наличие подтвержденных вышеназванных сертификатов в настоящее время является необходимым условием участия в конкурсных (тендерных) процедурах, а также контрактными требованиями большинства крупных внешних заказчиков (прежде всего международных).

Введенные в первом квартале 2020 г. национальные стандарты по управлению рисками [5, 6] дают рекомендации по выстраиванию эффективного риск-менеджмента (принципы, структура, процессы), а также содержат подходы к выбору и применению различных технологий по идентификации, анализу и сравнительной оценке риска, которые могут быть использованы для совершенствования понимания неопределенности и риска.

В научных трудах [7, 8] содержатся общие подходы к организации систем по управлению рисками на предприятиях, работы [9–11] раскрывают практические подходы к построению организационных структур, функциональных областей, процессов, а статьи [12, 13] содержат рекомендации по выстраиванию автоматизированных систем по управлению рисками и интеграции систем планирования с системами управления рисками.

Несмотря на полноту информативной базы, вновь введенные и действующие стандарты по управлению рисками, а также литературные источники не содержат прямых рекомендаций и подходов по выполнению мониторинга и контроля процедур по управлению рисками, оценке результативности этих процедур, а также оценке результативности системы по управлению рисками в целом.

При этом согласно [5], оценка эффективности структуры менеджмента риска является ее неотъемлемым компонентом, который позволяет реализовать один из основных принципов менеджмента риска – «непрерывное улучшение».

Целью настоящей статьи является описание оригинальных подходов, практических аспектов применения авторской методики оценки эффективности и зрелости системы по управлению рисками предприятия.

В статье применены общенаучные методы анализа. В качестве основных источников информации были использованы научные труды и публикации в области управления рисками, а также нормативные акты, регламентирующие процессы управления рисками, открытые документы и материалы по теме публикации, авторские разработки и материалы.

Практическая значимость материалов статьи заключается в том, что приведенные в статье оригинальные подходы, положения и инструменты могут быть заимствованы и использованы на других предприятиях вне зависимости от рода их деятельности и отраслевой принадлежности.

Материалы и методы исследования

Организациям, желающим внедрить эффективный подход к управлению рисками (или улучшить существующие подходы), требуется четкое определение целей, надлежащее планирование и обеспеченность ресурсами, а также эффективный мониторинг и контроль. Кроме того, необходим инструмент, который может помочь определить области, требующие улучшения и измерить прогресс в снижении рисков и в эффективности системы управления рисками.

В качестве инструмента достижения данных целей может выступать модель зрелости системы управления рисками, которая может быть использована для оценки уровня зрелости как систем управления проектными рисками, так и зрелости общекорпоративных систем.

Зрелость с точки зрения управления рисками означает эволюцию в направлении полного внедрения и постоянного совершенствования риск-ориентированного управления.

Основным преимуществом оценки зрелости системы управления рисками является возможность определения сильных и слабых сторон, а также барьеров в развитии процессов управления рисками, устранение которых может способствовать минимизации затрат и повышению прибыльности.

В настоящее время в практике по управлению рисками формулируется все большее количество моделей зрелости систем управления рисками, различных по типу и количеству уровней зрелости. Большинство разработанных моделей не уточняют отрасль применения.

Незначительное количество моделей разработаны для определенного сектора/отрасли. Для промышленного сектора, а в частности и для отдельных отраслей, не существует какой-либо наиболее приемлемой универсальной модели. Несмотря на множество уже существующих разработанных моделей зрелости систем управления рисками, их эффективность остается неподтвержденной на практике.

За последнее десятилетие разрабатываются в основном модели, ориентированные на банковский и финансовый секторы, что связано с требованиями контролирующих органов по предоставлению отчетности в сфере управления рисками, а также требованиями финансово-экономических институтов (прежде всего бирж) к своим участникам по обязательному внедрению систем управления рисками.

В табл. 1 приводится сравнение зарубежных моделей зрелости систем управления рисками. Несмотря на различия, все модели состоят из двух общих компонентов. Во-первых, любую модель определяет набор уровней, которые описывают развитие в области управления рисками. Система выходит на новый уровень зрелости, когда создается новая система практик, отсутствующая на более низком уровне. Второй компонент относится к измеряемым компонентам: критериям и индикаторам.

Таблица 1

Сравнение моделей зрелости управления рисками

Модель

Количество уровней

Краткое описание

Преимущества и недостатки

1

RIMS [14]

5

Модель охватывает оценку по следующим восьми областям, при этом каждая категория имеет индивидуальную оценку, которая затем суммируется:

1) культура риск-менеджмента;

2) процессы управления;

3) управление риск-аппетитом и лимитами;

4) анализ корневых причин рисков;

5) выявление риска;

6) интеграция со стратегическим планированием;

7) система управления рисками

Преимущества:

− предполагает качественную и количественную оценку зрелости системы управления рисками;

− подходит для внедрения на предприятиях большинства отраслей;

− собственное программное обеспечение, при установке которого организации получают доступ к базе данных рисков.

Недостатки:

− невозможность применения без установки ПО RIMS;

− необходимость интеграции ПО RIMS с программными продуктами промышленных организаций

2

Deloitte

[15]

3/5

Модель предполагает оценку по трем крупным блокам:

1) управление и контроль;

2) система управления рисками;

3) процессы управления рисками.

Анализ проводится по трем критериям каждого из трех блоков. Далее оценка суммируется

Преимущества:

− подробное описание критериев каждого блока;

− подробное качественное описание уровней развития системы управления рисками;

− подходит для внедрения на предприятиях большинства отраслей.

Недостатки:

− отсутствие количественных оценок

3

IMA

[16]

3

Модель предполагает оценку по следующим элементам:

1) поддержка «сверху» (важность, которую руководство придает эффективному управлению рисками);

2) философия управления рисками и аппетит;

3) честность и этические ценности (бескомпромиссная приверженность порядочности и этичному поведению);

4) культура риск-менеджмента;

5) объем и инфраструктура

Преимущества:

− подходит в том числе для применения на промышленных предприятиях.

Недостатки:

− отсутствие количественных оценок;

− нет четкого описания критериев и уровней развития системы управления рисками (полностью ссылаются на стандарт COSO ERM)

4

Standart& Poors

[17]

5

Оценка проводится по трем крупным блокам:

1) культура риск-менеджмента;

2) управление рисками;

3) оптимизация управления рисками.

Внутри каждый блок оценивается по установленными суб-факторам (критериям, которые влияют на управление рисками)

Преимущества:

− подробное описание критериев каждого блока;

− подробное качественное описание уровней развития системы управления рисками;

− наличие примеров;

− наличие готовых шаблонов для дальнейшего анкетирования и оценки зрелости системы.

Недостатки:

− отсутствие количественных оценок;

− ориентация на страховой сектор

Окончание табл. 1

Модель

Количество уровней

Краткое описание

Преимущества и недостатки

5

Lloyd’s

[18]

Методика не дает четкой инструкции по оценке, но предполагает проведение анализа зрелости путем анкетирования по трем основным блокам:

1) идентификация риска;

2) оценка риска;

3) оценка контроля.

Преимущества:

− подробное описание всех процессов управления рисками с рекомендациями к внедрению наиболее оптимального подхода;

− наличие примеров;

− наличие готовых шаблонов для дальнейшего анкетирования и оценки зрелости системы.

Недостатки:

− нет разделения на уровни развития;

− отсутствие количественных оценок;

− ориентация на финансовый сектор

6

Модель зрелости системы управления рисками проекта Хопкинсона

[19]

4

Описывает четыре уровня развития управления рисками внутри проектов организации, а также рекомендации по развитию методов управления от уровня к уровню

Преимущества:

− подробное описание критериев каждого блока;

− подробное качественное описание уровней развития системы управления рисками проекта;

− наличие рекомендаций для внедрения;

− наличие рекомендации для перехода на более высокий уровень зрелости системы управления рисками проекта.

Недостатки:

− ориентирована на риск-менеджмент в сфере управления проектами

7

Модель зрелости управления рисками KPMG

[20]

5

Оценка проводится по семи блокам:

1) стратегия управления рисками и риск-аппетит;

2) корпоративное управление рисками;

3) культура риск-менеджмента;

4) оценка рисков;

5) контроль;

6) отчетность;

7) данные и ИТ-инфраструктура

Преимущества:

− установлен перечень элементов оценки по блокам;

− подходит для адаптации предприятий большинства отраслей.

Недостатки:

− отсутствие количественных оценок;

− отсутствие описания элементов, по которым проводится оценка зрелости системы управления рисками;

− отсутствие примеров;

− отсутствие описания уровней развития системы управления рисками

Источник: составлено авторами на основе источников, указанных в табл. 1.

Модели, представленные в табл. 1, содержат разное количество уровней зрелости и представлены либо в форме матрицы уровней зрелости в зависимости от соответствия обозначенным критериям, либо в виде перечня вопросов (чек-листа).

Модели зрелости на основе соответствия критериям предполагают выбор наиболее соответствующих истине утверждений на каждом уровне, а модели с чек-листами требуют подробных ответов на вопросы, при этом большинство моделей не указывают отрасль применения.

Дополнительно авторами был проведен анализ некоторых методик оценки зрелости систем управления рисками российских компаний нефтегазового и банковского сектора.

Данные модели разработаны на основе международных стандартов в области управления рисками (COSO ERM, ISO 31000:2018) и адаптированы под специфику отрасли либо организации (конкретные критерии, по которым проводится оценка, также сформулированы в соответствии с особенностями деятельности организации). Соответственно, ни одна из существующих методик не может быть напрямую заимствована и применена на промышленных предприятиях атомной отрасли.

В материалах статьи более подробно рассмотрены подходы к оценке зрелости систем управления рисками предприятий атомной отрасли.

Основой для разработки внутренних методологических и распорядительных документов, регламентирующих процесс организации систем по управлению рисками и описывающих методики и инструменты по управлению рисками как на уровне госкорпорации «Росатом», так и на уровне ее организаций, является корпоративный стандарт [21]. Данный стандарт содержит в том числе и рекомендации по выполнению ежегодной самооценки владельцами рисков действующих процедур управления рисками.

Согласно [21] самооценка зрелости/эффективности системы по управлению рисками выполняется в разрезе четырех основных процедур по управлению рисками:

− выявление (идентификация) рисков;

− оценка рисков;

− разработка и реализация мероприятий;

− мониторинг и контроль.

Модель описывает четыре уровня развития системы: базовый уровень, развивающийся уровень, сформированный уровень и передовой уровень.

Оценка осуществляется экспертно в установленном диапазоне, предполагающем в том числе дробные оценки. В [21] сделано допущение, что оценочные критерии зрелости систем управления рисков организаций, находящихся в контуре управления госкорпорации «Росатом», могут быть изменены или дополнены исходя из их актуальности, требований внешних и внутренних заинтересованных сторон.

Результаты исследования и их обсуждение

В целях наиболее адекватной оценки зрелости системы управления рисками предприятий атомной отрасли на примере крупного научно-производственного центра АО «ОКБМ Африкантов» была разработана авторская методика оценки, учитывающая специфику деятельности и предполагающая развитие системы управления рисками по трем уровням: частичный, интегрированный и риск-ориентированный.

Оригинальная авторская методика разработана на основе модели оценки зрелости системы управления рисками британской компании Deloitte с ориентацией на рекомендации госкорпорации «Росатом», включающей в себя сочетание качественных критериев и количественной оценки (присвоение весов критериям) и применение оригинальных подходов к определению уровня зрелости системы.

Модель оценки зрелости управления рисками АО «ОКБМ Африкантов» качественно расширена как по количеству критериев, так и по степени их раскрытия, а также охватывает большее количество процедур процесса управления рисками и позволяет оценить степень развития системы более полно.

Эффективность системы управления рисками согласно разработанной методике определяется в результате оценки наличия и функционирования трех блоков системы управления рисками:

− управление и контроль;

− система управления рисками;

− процессы управления рисками.

Каждый из вышеперечисленных блоков состоит из трех компонентов, приведенных на рис. 1.

missing image file

Рис. 1. Модель зрелости системы управления рисками предприятия атомной отрасли. Источник: составлено авторами на основе [15]

Каждый компонент содержит набор критериев, представленных в табл. 2, которые соответствуют передовой практике управления рисками.

Таблица 2

Критерии модели зрелости управления рисками АО «ОКБМ Африкантов»

Блок 1.

Управление и контроль

Блок 2.

Система управления рисками

Блок 3.

Процессы управления рисками

Компонент 1.

Культура управления рисками

Компонент 1. Инфраструктура и ресурсы

Компонент 1. Идентификация

Осознанность

Риск-координатор (сотрудник подразделения риск-координатора)

Подход к идентификации рисков

Готовность к принятию риска

Компетенции по управлению рисками

Классификация рисков

Личная ответственность

Обучение управлению рисками

Качество данных по рискам (формат, полнота)

Интеграция управления рисками в процессы планирования и бюджетирования

Комитет по рискам

Интеграция управления рисками в процессы принятия решений

Подразделение, ответственное за внедрение системы управления рисками

Интеграция управления рисками в основные операционные процессы

Отчетность по рискам

Восприимчивость к информации о рисках

Политика по управлению рисками

Соответствие методологии управления рисками ГОСТ Р ИСО 31000:2019

Автоматизация процесса управления рисками

Компонент 2.

Риск-аппетит и стратегия управления рисками

Компонент 2.

Информация о рисках

Компонент 2.

Оценка

Заявление о риск-аппетите

Информация о рисках

Измеримость

Понимание риск-аппетита

Долгосрочное планирование с использованием информации по рискам

Инструменты анализа и оценки рисков

Принятие решений с учетом риск-аппетита

Компонент 3. Ответственность

Компонент 3.

Мониторинг и отчетность

Компонент 3.

Управление рисками

Закрепление ответственности за управление рисками в нормативных документах

Частота мониторинга рисков

Подход к управлению рисками (принятие, избегание, передача, снижение)

Роли и обязанности по управлению рисками

Связь процессов управления рисками с КПЭ

Последующий контроль

Делегирование полномочий/ распределение ответственности в рамках управления рисками

Связь процессов управления рисками со стратегическими целями

Результативность процедур по управлению рисками

Мониторинг управления рисками

Источник: составлено авторами на основе [15].

Совокупность выбранных методов формирует программу управления рисками. Набор критериев по каждому компоненту разрабатывался соответственно специфике деятельности организации из совокупности предложенных критериев методикой Deloitte и усовершенствованной методики госкорпорации «Росатом». Ввиду специфики деятельности предприятий атомной отрасли критерии, связанные с открытой отчетностью, установленными лимитами, участием Совета директоров в управлении рисками и пр., были исключены из оценки зрелости.

С целью повышения эффективности сформированной в организации системы управления рисками необходимо проанализировать и оценить состояние данной системы в текущих условиях по предложенным критериям и выявить проблемные области.

С целью подтверждения работоспособности подходов, оценки достоверности отдельных положений разработанной методики выполнена ее апробация на примере самооценки зрелости системы управления рисками АО «ОКБМ Африкантов».

Методология самооценки предполагает следующий перечень и алгоритм выполнения мероприятий:

1. Разработка (корректировка) анкеты по критериям, закрепленным в методике оценки уровня зрелости системы управления рисками, для рассылки респондентам.

2. Определение списка респондентов из числа владельцев, экспертов по рискам и специалистов, непосредственно вовлеченных в работу по управлению рисками.

3. Рассылка анкет.

4. Сбор, обработка и анализ результатов анкетирования.

5. Разработка плана корректирующих мероприятий.

Опросная анкета была разослана 180 руководителям и сотрудникам, из которых 83 % – специалисты, непосредственно участвующие в функционировании системы по управлению рисками и наиболее объективно могут оценить ее текущий уровень, а также результативность ее внедрения.

Респондентам было предложено экспертно оценить степень зрелости по каждому из критериев блока, представленных в анкете применительно к их сфере ответственности.

По каждому критерию респондентам предлагается выбрать наиболее подходящий и соответствующий текущему состоянию развития системы управления рисками вариант.

В соответствии с принадлежностью критерия уровню развития системы управления рисками ему присваивается весовой коэффициент (балл) от 1 до 3 (дробные оценки не допускаются):

«1» – критерий соответствует Уровню 1 развития системы управления рисками «Частичный»;

«2» – критерий соответствует Уровню 2 развития системы управления рисками «Интегрированный»;

«3» – критерий соответствует Уровню 3 развития системы управления рисками «Риск-ориентированный».

Далее баллы суммируются в соответствии со следующей формулой:

A = missing image file,

где ki – критерий, p – вес критерия (балл).

Сумма баллов является итоговой оценкой уровня развития системы управления рисками.

В соответствии с определенными диапазонами баллов делается вывод о соответствии уровня развития системы управления рисками одному из трех уровней. Также существует возможность оценки эффективности системы управления рисками по каждому из компонентов.

Отклик составил около 85 % от общего количества разосланных анкет, что обеспечивает условия репрезентативности и представительности результатов.

Результаты анкетирования показали, что 84 % сотрудников высказались за интегрированный и риск-ориентированный уровни развития системы (рис. 2).

missing image file

Рис. 2. Соответствие процессов уровню развития системы управления рисками АО «ОКБМ Африкантов». Источник: составлено авторами

С целью более глубокого анализа состояния системы управления рисками, подразделением риск-координатором АО «ОКБМ Африкантов», выполняющим функции методологического обеспечения и организации работ по управлению рисками, была выполнена независимая самооценка зрелости системы управления рисками по аналогичной методике.

Оценка методологами процессов системы управления рисками в итоге также соответствует уровню развития системы «Интегрированный» (56 %, рис. 3), однако при этом достаточно высок процент критериев, соответствующих уровню «Частичный» (36 %), и минимален процент критериев, соответствующих уровню «Риск-ориентированный» (8 %).

missing image file

Рис. 3. Соответствие процессов уровню развития системы управления рисками АО «ОКБМ Африкантов» (оценка методологов). Источник: составлено авторами

Результаты проведенной апробации показали схожесть получаемых выводов, подтверждающих работоспособность и практическую применимость предлагаемых авторами оригинальных подходов, инструментов к оценке зрелости системы управления рисками промышленного предприятия.

При проведении апробации были выявлены некоторые проблемные области, связанные с недостаточной адаптированностью оценочных критериев к специфике деятельности организации в большинстве моделей, в том числе и в модели АО «ОКБМ Африкантов»: респонденту предлагается неявное «правило» – четкая принадлежность установленных критериев одному из уровней, и, следовательно, респондент несознательно выбирает не наиболее соответствующий действительности критерий, а наиболее «подходящий», тем самым искажая реальную картину, что зачастую объясняется низкой заинтересованностью сотрудников организации в объективном представлении информации о рисках. Данные проблемные области были детально проанализированы и использованы при корректировке подходов, перечня критериев и пр.

Низкая заинтересованность организаций в развертывании систем по управлению рисками и их системном развитии, по мнению авторов, является главным фактором, препятствующим развитию культуры риск-менеджмента, равно как и дефицит компетентных кадров, способных провести качественную оценку рисков и системы управления рисками в целом.

Причем, как отмечают исследования компании Deloitte [22], в России компании машиностроительной отрасли выражают наиболее низкую заинтересованность в управлении рисками среди прочих отраслей промышленности.

Чтобы преодолеть эти барьеры, необходимо определить проблемы в управлении рисками конкретной организации, наметить точки роста в развитии культуры управления рисками и интеграции элементов управления рисками в ключевые производственные процессы и процессы принятия решений.

Для того чтобы формировать эффективные программы и проекты по развитию и совершенствованию системы по управлению рисками, менеджменту необходимо в любой момент осознавать, на какой стадии развития находится эта система. Ошибочные и недостоверные оценки состояния систем управления рисками могут привести к неправильным выводам и, соответственно, к некорректным и неэффективным управленческим решениям.

Многофакторная методика оценки уровня зрелости системы управления рисками позволит избежать появления данных проблем и повысить эффективность как основных, так и вспомогательных бизнес-процессов предприятий.

Заключение

Оригинальные подходы и практические аспекты оценки зрелости системы управления рисками предприятий, представленные в данной статье, могут помочь практикующим специалистам и специалистам в области управления рисками при разработке собственных моделей оценки зрелости, а также позволят применять их в более узком контексте (для кросс-проектного анализа).

По мнению авторов, оценка зрелости систем управления рисками, при условии, что она проведена максимально объективно, позволяет получить ясную и достоверную картину протекания бизнес-процессов организации в условиях неопределенности, выявить проблемные блоки и барьеры, препятствующие достижению целей как отдельных бизнес-направлений, так и стратегических целей организации в целом.

Данную информацию предлагается использовать в процессе принятия управленческих решений на всех уровнях управления крупных промышленных комплексов, предприятий и организаций.

Предложенные в настоящей статье методические подходы и практические рекомендации по самооценке зрелости системы по управлению рисками могут быть использованы и тиражированы предприятиями в практике стратегического управления при организации и выстраивании эффективных систем по управлению рисками.