Возникновение рисков, как положительных (риски-возможности), так и отрицательных (риски-угрозы), неизбежно в любом виде деятельности, так как абсолютно любая деятельность окружена той или иной степенью неопределенности. Многие научные исследователи, практикующие специалисты в области управления рисками, руководители малого, среднего и крупного бизнеса считают, что управление рисками снижает уровень неопределенности и в итоге увеличивает вероятность успеха проекта, предприятия.
За последние десятилетия деятельность по управлению рисками все больше привлекает внимание и становится обязательной во многих крупных промышленных предприятиях и организациях.
Так, согласно исследованию [1] в 2015 г. в каждой второй компании РФ с государственным участием управление рисками как функция отсутствовало вовсе, при этом обособленное подразделение по управлению рисками было только в каждой третьей компании. По итогам 2019 г. обособленное подразделение по управлению рисками существует уже у 70 % опрошенных компаний и в 30 % – управление рисками находится в одном структурном подразделении с внутренним аудитом или внутренним контролем.
Несмотря на это, нельзя сказать, что практика управления рисками интегрирована в деятельность организаций, а также в процессы принятия решений и в общий подход к управлению (здесь и далее под «управлением рисками» понимается управление как отрицательными (угрозами), так и положительными рисками (возможностями)).
Внедрение систем по управлению рисками является на сегодняшний день не столько осознанной руководителем организации необходимостью, сколько обеспечением требований международных стандартов в области систем менеджмента [2–4], сертификация по которым дает организации ряд неоспоримых преимуществ, таких как повышение качества и конкурентоспособности продукции, расширение рыночных возможностей, повышение культуры менеджмента и уровня управляемости и др.
В настоящее время при первичной и/или повторной сертификации организаций на соответствие деятельности требованиям [2–4] внешними аудиторами особое внимание уделяется проверке в том числе выполнения организациями раздела 6.1 «Действия по обработке рисков и реализации возможностей», который требует, чтобы при планировании систем менеджмента организация:
- определяла риски и потенциальные возможности;
- планировала действия по обработке этих рисков и реализации возможностей;
- планировала то, каким образом встраивать эти действия в процессы системы менеджмента и выполнять их;
- оценивала результативность этих действий.
Отсутствие подтверждённых задокументированных процедур по управлению рисками в области систем менеджмента качества, экологического менеджмента и менеджмента в области охраны здоровья и обеспечения безопасности труда (ОЗиОБТ) является основанием для выдачи аудиторами критических несоответствий и принятии ими решения о неготовности предприятия к сертификации или отзыву сертификата соответствия (при процедурах ресертификации).
Кроме того, наличие подтвержденных вышеназванных сертификатов в настоящее время является необходимым условием участия в конкурсных (тендерных) процедурах, а также контрактными требованиями большинства крупных внешних заказчиков (прежде всего международных).
Введенные в первом квартале 2020 г. национальные стандарты по управлению рисками [5, 6] дают рекомендации по выстраиванию эффективного риск-менеджмента (принципы, структура, процессы), а также содержат подходы к выбору и применению различных технологий по идентификации, анализу и сравнительной оценке риска, которые могут быть использованы для совершенствования понимания неопределенности и риска.
В научных трудах [7, 8] содержатся общие подходы к организации систем по управлению рисками на предприятиях, работы [9–11] раскрывают практические подходы к построению организационных структур, функциональных областей, процессов, а статьи [12, 13] содержат рекомендации по выстраиванию автоматизированных систем по управлению рисками и интеграции систем планирования с системами управления рисками.
Несмотря на полноту информативной базы, вновь введенные и действующие стандарты по управлению рисками, а также литературные источники не содержат прямых рекомендаций и подходов по выполнению мониторинга и контроля процедур по управлению рисками, оценке результативности этих процедур, а также оценке результативности системы по управлению рисками в целом.
При этом согласно [5], оценка эффективности структуры менеджмента риска является ее неотъемлемым компонентом, который позволяет реализовать один из основных принципов менеджмента риска – «непрерывное улучшение».
Целью настоящей статьи является описание оригинальных подходов, практических аспектов применения авторской методики оценки эффективности и зрелости системы по управлению рисками предприятия.
В статье применены общенаучные методы анализа. В качестве основных источников информации были использованы научные труды и публикации в области управления рисками, а также нормативные акты, регламентирующие процессы управления рисками, открытые документы и материалы по теме публикации, авторские разработки и материалы.
Практическая значимость материалов статьи заключается в том, что приведенные в статье оригинальные подходы, положения и инструменты могут быть заимствованы и использованы на других предприятиях вне зависимости от рода их деятельности и отраслевой принадлежности.
Материалы и методы исследования
Организациям, желающим внедрить эффективный подход к управлению рисками (или улучшить существующие подходы), требуется четкое определение целей, надлежащее планирование и обеспеченность ресурсами, а также эффективный мониторинг и контроль. Кроме того, необходим инструмент, который может помочь определить области, требующие улучшения и измерить прогресс в снижении рисков и в эффективности системы управления рисками.
В качестве инструмента достижения данных целей может выступать модель зрелости системы управления рисками, которая может быть использована для оценки уровня зрелости как систем управления проектными рисками, так и зрелости общекорпоративных систем.
Зрелость с точки зрения управления рисками означает эволюцию в направлении полного внедрения и постоянного совершенствования риск-ориентированного управления.
Основным преимуществом оценки зрелости системы управления рисками является возможность определения сильных и слабых сторон, а также барьеров в развитии процессов управления рисками, устранение которых может способствовать минимизации затрат и повышению прибыльности.
В настоящее время в практике по управлению рисками формулируется все большее количество моделей зрелости систем управления рисками, различных по типу и количеству уровней зрелости. Большинство разработанных моделей не уточняют отрасль применения.
Незначительное количество моделей разработаны для определенного сектора/отрасли. Для промышленного сектора, а в частности и для отдельных отраслей, не существует какой-либо наиболее приемлемой универсальной модели. Несмотря на множество уже существующих разработанных моделей зрелости систем управления рисками, их эффективность остается неподтвержденной на практике.
За последнее десятилетие разрабатываются в основном модели, ориентированные на банковский и финансовый секторы, что связано с требованиями контролирующих органов по предоставлению отчетности в сфере управления рисками, а также требованиями финансово-экономических институтов (прежде всего бирж) к своим участникам по обязательному внедрению систем управления рисками.
В табл. 1 приводится сравнение зарубежных моделей зрелости систем управления рисками. Несмотря на различия, все модели состоят из двух общих компонентов. Во-первых, любую модель определяет набор уровней, которые описывают развитие в области управления рисками. Система выходит на новый уровень зрелости, когда создается новая система практик, отсутствующая на более низком уровне. Второй компонент относится к измеряемым компонентам: критериям и индикаторам.
Таблица 1
Сравнение моделей зрелости управления рисками
|
№ |
Модель |
Количество уровней |
Краткое описание |
Преимущества и недостатки |
|
1 |
RIMS [14] |
5 |
Модель охватывает оценку по следующим восьми областям, при этом каждая категория имеет индивидуальную оценку, которая затем суммируется: 1) культура риск-менеджмента; 2) процессы управления; 3) управление риск-аппетитом и лимитами; 4) анализ корневых причин рисков; 5) выявление риска; 6) интеграция со стратегическим планированием; 7) система управления рисками |
Преимущества: − предполагает качественную и количественную оценку зрелости системы управления рисками; − подходит для внедрения на предприятиях большинства отраслей; − собственное программное обеспечение, при установке которого организации получают доступ к базе данных рисков. Недостатки: − невозможность применения без установки ПО RIMS; − необходимость интеграции ПО RIMS с программными продуктами промышленных организаций |
|
2 |
Deloitte [15] |
3/5 |
Модель предполагает оценку по трем крупным блокам: 1) управление и контроль; 2) система управления рисками; 3) процессы управления рисками. Анализ проводится по трем критериям каждого из трех блоков. Далее оценка суммируется |
Преимущества: − подробное описание критериев каждого блока; − подробное качественное описание уровней развития системы управления рисками; − подходит для внедрения на предприятиях большинства отраслей. Недостатки: − отсутствие количественных оценок |
|
3 |
IMA [16] |
3 |
Модель предполагает оценку по следующим элементам: 1) поддержка «сверху» (важность, которую руководство придает эффективному управлению рисками); 2) философия управления рисками и аппетит; 3) честность и этические ценности (бескомпромиссная приверженность порядочности и этичному поведению); 4) культура риск-менеджмента; 5) объем и инфраструктура |
Преимущества: − подходит в том числе для применения на промышленных предприятиях. Недостатки: − отсутствие количественных оценок; − нет четкого описания критериев и уровней развития системы управления рисками (полностью ссылаются на стандарт COSO ERM) |
|
4 |
Standart& Poors [17] |
5 |
Оценка проводится по трем крупным блокам: 1) культура риск-менеджмента; 2) управление рисками; 3) оптимизация управления рисками. Внутри каждый блок оценивается по установленными суб-факторам (критериям, которые влияют на управление рисками) |
Преимущества: − подробное описание критериев каждого блока; − подробное качественное описание уровней развития системы управления рисками; − наличие примеров; − наличие готовых шаблонов для дальнейшего анкетирования и оценки зрелости системы. Недостатки: − отсутствие количественных оценок; − ориентация на страховой сектор |
|
Окончание табл. 1 |
||||
|
№ |
Модель |
Количество уровней |
Краткое описание |
Преимущества и недостатки |
|
5 |
Lloyd’s [18] |
– |
Методика не дает четкой инструкции по оценке, но предполагает проведение анализа зрелости путем анкетирования по трем основным блокам: 1) идентификация риска; 2) оценка риска; 3) оценка контроля. |
Преимущества: − подробное описание всех процессов управления рисками с рекомендациями к внедрению наиболее оптимального подхода; − наличие примеров; − наличие готовых шаблонов для дальнейшего анкетирования и оценки зрелости системы. Недостатки: − нет разделения на уровни развития; − отсутствие количественных оценок; − ориентация на финансовый сектор |
|
6 |
Модель зрелости системы управления рисками проекта Хопкинсона [19] |
4 |
Описывает четыре уровня развития управления рисками внутри проектов организации, а также рекомендации по развитию методов управления от уровня к уровню |
Преимущества: − подробное описание критериев каждого блока; − подробное качественное описание уровней развития системы управления рисками проекта; − наличие рекомендаций для внедрения; − наличие рекомендации для перехода на более высокий уровень зрелости системы управления рисками проекта. Недостатки: − ориентирована на риск-менеджмент в сфере управления проектами |
|
7 |
Модель зрелости управления рисками KPMG [20] |
5 |
Оценка проводится по семи блокам: 1) стратегия управления рисками и риск-аппетит; 2) корпоративное управление рисками; 3) культура риск-менеджмента; 4) оценка рисков; 5) контроль; 6) отчетность; 7) данные и ИТ-инфраструктура |
Преимущества: − установлен перечень элементов оценки по блокам; − подходит для адаптации предприятий большинства отраслей. Недостатки: − отсутствие количественных оценок; − отсутствие описания элементов, по которым проводится оценка зрелости системы управления рисками; − отсутствие примеров; − отсутствие описания уровней развития системы управления рисками |
Источник: составлено авторами на основе источников, указанных в табл. 1.
Модели, представленные в табл. 1, содержат разное количество уровней зрелости и представлены либо в форме матрицы уровней зрелости в зависимости от соответствия обозначенным критериям, либо в виде перечня вопросов (чек-листа).
Модели зрелости на основе соответствия критериям предполагают выбор наиболее соответствующих истине утверждений на каждом уровне, а модели с чек-листами требуют подробных ответов на вопросы, при этом большинство моделей не указывают отрасль применения.
Дополнительно авторами был проведен анализ некоторых методик оценки зрелости систем управления рисками российских компаний нефтегазового и банковского сектора.
Данные модели разработаны на основе международных стандартов в области управления рисками (COSO ERM, ISO 31000:2018) и адаптированы под специфику отрасли либо организации (конкретные критерии, по которым проводится оценка, также сформулированы в соответствии с особенностями деятельности организации). Соответственно, ни одна из существующих методик не может быть напрямую заимствована и применена на промышленных предприятиях атомной отрасли.
В материалах статьи более подробно рассмотрены подходы к оценке зрелости систем управления рисками предприятий атомной отрасли.
Основой для разработки внутренних методологических и распорядительных документов, регламентирующих процесс организации систем по управлению рисками и описывающих методики и инструменты по управлению рисками как на уровне госкорпорации «Росатом», так и на уровне ее организаций, является корпоративный стандарт [21]. Данный стандарт содержит в том числе и рекомендации по выполнению ежегодной самооценки владельцами рисков действующих процедур управления рисками.
Согласно [21] самооценка зрелости/эффективности системы по управлению рисками выполняется в разрезе четырех основных процедур по управлению рисками:
− выявление (идентификация) рисков;
− оценка рисков;
− разработка и реализация мероприятий;
− мониторинг и контроль.
Модель описывает четыре уровня развития системы: базовый уровень, развивающийся уровень, сформированный уровень и передовой уровень.
Оценка осуществляется экспертно в установленном диапазоне, предполагающем в том числе дробные оценки. В [21] сделано допущение, что оценочные критерии зрелости систем управления рисков организаций, находящихся в контуре управления госкорпорации «Росатом», могут быть изменены или дополнены исходя из их актуальности, требований внешних и внутренних заинтересованных сторон.
Результаты исследования и их обсуждение
В целях наиболее адекватной оценки зрелости системы управления рисками предприятий атомной отрасли на примере крупного научно-производственного центра АО «ОКБМ Африкантов» была разработана авторская методика оценки, учитывающая специфику деятельности и предполагающая развитие системы управления рисками по трем уровням: частичный, интегрированный и риск-ориентированный.
Оригинальная авторская методика разработана на основе модели оценки зрелости системы управления рисками британской компании Deloitte с ориентацией на рекомендации госкорпорации «Росатом», включающей в себя сочетание качественных критериев и количественной оценки (присвоение весов критериям) и применение оригинальных подходов к определению уровня зрелости системы.
Модель оценки зрелости управления рисками АО «ОКБМ Африкантов» качественно расширена как по количеству критериев, так и по степени их раскрытия, а также охватывает большее количество процедур процесса управления рисками и позволяет оценить степень развития системы более полно.
Эффективность системы управления рисками согласно разработанной методике определяется в результате оценки наличия и функционирования трех блоков системы управления рисками:
− управление и контроль;
− система управления рисками;
− процессы управления рисками.
Каждый из вышеперечисленных блоков состоит из трех компонентов, приведенных на рис. 1.
Рис. 1. Модель зрелости системы управления рисками предприятия атомной отрасли. Источник: составлено авторами на основе [15]
Каждый компонент содержит набор критериев, представленных в табл. 2, которые соответствуют передовой практике управления рисками.
Таблица 2
Критерии модели зрелости управления рисками АО «ОКБМ Африкантов»
|
Блок 1. Управление и контроль |
Блок 2. Система управления рисками |
Блок 3. Процессы управления рисками |
|
Компонент 1. Культура управления рисками |
Компонент 1. Инфраструктура и ресурсы |
Компонент 1. Идентификация |
|
Осознанность |
Риск-координатор (сотрудник подразделения риск-координатора) |
Подход к идентификации рисков |
|
Готовность к принятию риска |
Компетенции по управлению рисками |
Классификация рисков |
|
Личная ответственность |
Обучение управлению рисками |
Качество данных по рискам (формат, полнота) |
|
Интеграция управления рисками в процессы планирования и бюджетирования |
Комитет по рискам |
|
|
Интеграция управления рисками в процессы принятия решений |
Подразделение, ответственное за внедрение системы управления рисками |
|
|
Интеграция управления рисками в основные операционные процессы |
Отчетность по рискам |
|
|
Восприимчивость к информации о рисках |
Политика по управлению рисками |
|
|
Соответствие методологии управления рисками ГОСТ Р ИСО 31000:2019 |
||
|
Автоматизация процесса управления рисками |
||
|
Компонент 2. Риск-аппетит и стратегия управления рисками |
Компонент 2. Информация о рисках |
Компонент 2. Оценка |
|
Заявление о риск-аппетите |
Информация о рисках |
Измеримость |
|
Понимание риск-аппетита |
Долгосрочное планирование с использованием информации по рискам |
Инструменты анализа и оценки рисков |
|
Принятие решений с учетом риск-аппетита |
||
|
Компонент 3. Ответственность |
Компонент 3. Мониторинг и отчетность |
Компонент 3. Управление рисками |
|
Закрепление ответственности за управление рисками в нормативных документах |
Частота мониторинга рисков |
Подход к управлению рисками (принятие, избегание, передача, снижение) |
|
Роли и обязанности по управлению рисками |
Связь процессов управления рисками с КПЭ |
Последующий контроль |
|
Делегирование полномочий/ распределение ответственности в рамках управления рисками |
Связь процессов управления рисками со стратегическими целями |
Результативность процедур по управлению рисками |
|
Мониторинг управления рисками |
Источник: составлено авторами на основе [15].
Совокупность выбранных методов формирует программу управления рисками. Набор критериев по каждому компоненту разрабатывался соответственно специфике деятельности организации из совокупности предложенных критериев методикой Deloitte и усовершенствованной методики госкорпорации «Росатом». Ввиду специфики деятельности предприятий атомной отрасли критерии, связанные с открытой отчетностью, установленными лимитами, участием Совета директоров в управлении рисками и пр., были исключены из оценки зрелости.
С целью повышения эффективности сформированной в организации системы управления рисками необходимо проанализировать и оценить состояние данной системы в текущих условиях по предложенным критериям и выявить проблемные области.
С целью подтверждения работоспособности подходов, оценки достоверности отдельных положений разработанной методики выполнена ее апробация на примере самооценки зрелости системы управления рисками АО «ОКБМ Африкантов».
Методология самооценки предполагает следующий перечень и алгоритм выполнения мероприятий:
1. Разработка (корректировка) анкеты по критериям, закрепленным в методике оценки уровня зрелости системы управления рисками, для рассылки респондентам.
2. Определение списка респондентов из числа владельцев, экспертов по рискам и специалистов, непосредственно вовлеченных в работу по управлению рисками.
3. Рассылка анкет.
4. Сбор, обработка и анализ результатов анкетирования.
5. Разработка плана корректирующих мероприятий.
Опросная анкета была разослана 180 руководителям и сотрудникам, из которых 83 % – специалисты, непосредственно участвующие в функционировании системы по управлению рисками и наиболее объективно могут оценить ее текущий уровень, а также результативность ее внедрения.
Респондентам было предложено экспертно оценить степень зрелости по каждому из критериев блока, представленных в анкете применительно к их сфере ответственности.
По каждому критерию респондентам предлагается выбрать наиболее подходящий и соответствующий текущему состоянию развития системы управления рисками вариант.
В соответствии с принадлежностью критерия уровню развития системы управления рисками ему присваивается весовой коэффициент (балл) от 1 до 3 (дробные оценки не допускаются):
«1» – критерий соответствует Уровню 1 развития системы управления рисками «Частичный»;
«2» – критерий соответствует Уровню 2 развития системы управления рисками «Интегрированный»;
«3» – критерий соответствует Уровню 3 развития системы управления рисками «Риск-ориентированный».
Далее баллы суммируются в соответствии со следующей формулой:
A = 
,
где ki – критерий, p – вес критерия (балл).
Сумма баллов является итоговой оценкой уровня развития системы управления рисками.
В соответствии с определенными диапазонами баллов делается вывод о соответствии уровня развития системы управления рисками одному из трех уровней. Также существует возможность оценки эффективности системы управления рисками по каждому из компонентов.
Отклик составил около 85 % от общего количества разосланных анкет, что обеспечивает условия репрезентативности и представительности результатов.
Результаты анкетирования показали, что 84 % сотрудников высказались за интегрированный и риск-ориентированный уровни развития системы (рис. 2).
Рис. 2. Соответствие процессов уровню развития системы управления рисками АО «ОКБМ Африкантов». Источник: составлено авторами
С целью более глубокого анализа состояния системы управления рисками, подразделением риск-координатором АО «ОКБМ Африкантов», выполняющим функции методологического обеспечения и организации работ по управлению рисками, была выполнена независимая самооценка зрелости системы управления рисками по аналогичной методике.
Оценка методологами процессов системы управления рисками в итоге также соответствует уровню развития системы «Интегрированный» (56 %, рис. 3), однако при этом достаточно высок процент критериев, соответствующих уровню «Частичный» (36 %), и минимален процент критериев, соответствующих уровню «Риск-ориентированный» (8 %).
Рис. 3. Соответствие процессов уровню развития системы управления рисками АО «ОКБМ Африкантов» (оценка методологов). Источник: составлено авторами
Результаты проведенной апробации показали схожесть получаемых выводов, подтверждающих работоспособность и практическую применимость предлагаемых авторами оригинальных подходов, инструментов к оценке зрелости системы управления рисками промышленного предприятия.
При проведении апробации были выявлены некоторые проблемные области, связанные с недостаточной адаптированностью оценочных критериев к специфике деятельности организации в большинстве моделей, в том числе и в модели АО «ОКБМ Африкантов»: респонденту предлагается неявное «правило» – четкая принадлежность установленных критериев одному из уровней, и, следовательно, респондент несознательно выбирает не наиболее соответствующий действительности критерий, а наиболее «подходящий», тем самым искажая реальную картину, что зачастую объясняется низкой заинтересованностью сотрудников организации в объективном представлении информации о рисках. Данные проблемные области были детально проанализированы и использованы при корректировке подходов, перечня критериев и пр.
Низкая заинтересованность организаций в развертывании систем по управлению рисками и их системном развитии, по мнению авторов, является главным фактором, препятствующим развитию культуры риск-менеджмента, равно как и дефицит компетентных кадров, способных провести качественную оценку рисков и системы управления рисками в целом.
Причем, как отмечают исследования компании Deloitte [22], в России компании машиностроительной отрасли выражают наиболее низкую заинтересованность в управлении рисками среди прочих отраслей промышленности.
Чтобы преодолеть эти барьеры, необходимо определить проблемы в управлении рисками конкретной организации, наметить точки роста в развитии культуры управления рисками и интеграции элементов управления рисками в ключевые производственные процессы и процессы принятия решений.
Для того чтобы формировать эффективные программы и проекты по развитию и совершенствованию системы по управлению рисками, менеджменту необходимо в любой момент осознавать, на какой стадии развития находится эта система. Ошибочные и недостоверные оценки состояния систем управления рисками могут привести к неправильным выводам и, соответственно, к некорректным и неэффективным управленческим решениям.
Многофакторная методика оценки уровня зрелости системы управления рисками позволит избежать появления данных проблем и повысить эффективность как основных, так и вспомогательных бизнес-процессов предприятий.
Заключение
Оригинальные подходы и практические аспекты оценки зрелости системы управления рисками предприятий, представленные в данной статье, могут помочь практикующим специалистам и специалистам в области управления рисками при разработке собственных моделей оценки зрелости, а также позволят применять их в более узком контексте (для кросс-проектного анализа).
По мнению авторов, оценка зрелости систем управления рисками, при условии, что она проведена максимально объективно, позволяет получить ясную и достоверную картину протекания бизнес-процессов организации в условиях неопределенности, выявить проблемные блоки и барьеры, препятствующие достижению целей как отдельных бизнес-направлений, так и стратегических целей организации в целом.
Данную информацию предлагается использовать в процессе принятия управленческих решений на всех уровнях управления крупных промышленных комплексов, предприятий и организаций.
Предложенные в настоящей статье методические подходы и практические рекомендации по самооценке зрелости системы по управлению рисками могут быть использованы и тиражированы предприятиями в практике стратегического управления при организации и выстраивании эффективных систем по управлению рисками.