Международные стандарты управления рисками, наиболее известные из которых перечислены в таблице ниже, могут браться за основу при разработке внутрикорпоративных стандартов риск-менеджмента.

Таблица 1

Международные стандарты управления рисками

В настоящее время в риск-менеджменте наиболее распространены стандарты FERMA и COSO ERM.

FERMA (Federation of European Risk Management Association) — Европейская Федерация Ассоциаций риск-менеджмента. В 2002 году был опубликован «Стандарт по управлению рисками» (Risk Managment Standart), который был использован автором в консультационной работе и при подготовке данного курса. COSO ERM, ERM COSO (Enterprise Risk Management — Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission) — принципы риск-менеджмента, разработанные Комитетом спонсорских организаций Комиссии Тредвея совместно с компанией PricewaterhouseCoopers.

Выбор стандарта риск-менджмента

Эти стандарты, с одной стороны, похожи, а с другой — достаточно сильно отличаются с точки зрения их возможного использования. Возможное использование связано с несколькими факторами.

Во-первых, стандарт FERMA разработан риск-менеджерами для постановки системы управления рисками любого предприятия. Стандарт COSO ERM — развитие предыдущего стандарта COSO (Internal Control — Integrated Framework), который был ориентирован на повышение достоверности отчетности предприятий. Данные стандарты были разработаны аудиторами для аудиторов. История развития, по мнению автора, наложила отпечаток на каждый из стандартов. Поэтому первый удобен для обычных людей, а второй — именно для внутренних аудиторов.

Во-вторых, стандарт FERMA содержит четко определенную последовательность действий по постановке системы управления рисками и более конкретные рекомендации. Это позволяет использовать его при постановке системы управления рисками неподготовленному читателю. Стандарт COSO ERM по сравнению со стандартом FERMA расплывчат, и для его интерпретации почти наверняка понадобится помощь внешнего консультанта либо же привлечение на работу специалиста, знакомого именно с этим стандартом.

В-третьих, у каждого из этих стандартов разные пользователи и разные законодательные требования. FERMA предназначен, в первую очередь, для риск-менеджеров и фактически представляет собой необязательные рекомендации. Стандарт COSO является обязательным для публичных компаний в США.

Исходя из перечисленных особенностей и должен происходить выбор стандарта для постановки системы управления рисками. Если цель компании — размещение акций на нью-йоркской фондовой бирже, то естественно выбрать COSO ERM. Если же цель компании — построить систему управления рисками для внутреннего пользования, целесообразно использовать FERMA, хотя и этот стандарт определяет требования к раскрытию информации. Именно применению стандарта FERMA для промышленных и торговых компаний и посвящен этот видеокурс.

Цели и задачи управления рисками

В соответствии со стандартом, цель управления рисками — придание максимальной устойчивости всем видам деятельности компании. Основная задача управления рисками — идентификация рисков и воздействие на них. Стандарт FERMA также говорит о том, что управление рисками является центральной частью стратегического управления компании. По мнению автора, это не совсем так. Дело в том, что риск-менеджмент, как и другие направления менеджмента, не содержит порядок разработки бизнес-идей. Поэтому главное для стратегии — бизнес-идея, и именно люди, которые ее могут предложить, являются центральной частью стратегического управления. Использование риск-менеджмента необходимо при анализе стратегических альтернатив, что будет рассмотрено далее, однако система управления рисками является только инструментом управления.

Стандарт FERMA задает четыре типа рисков: стратегические, финансовые, операционные и риски опасностей. Кроме того, существуют внешние и внутренние факторы рисков.

Методы, используемые для диагностики рисков

Стандарт FERMA задает значительное количество возможных методов идентификации и анализа рисков. Приведем некоторые из них.

· SWOT-анализ (сильные, слабые стороны, возможности, опасности). Традиционный инструмент анализа, который может быть применен и для анализа рисков.

· BPEST-анализ (бизнес, политический, экономический, социальный, технологический) и PESTLE-анализ (политический, экономический, социальный, технологический, юридический, экологический). При применении анализируются риски, связанные с каждым из аспектов, приведенных в названии. По итогам анализа возникает перечень угроз, которые могут помешать достижению целей. PESTLE можно расширить до STEEPLED (PESTLE + образовательный и демографический виды анализа).

· Анализ сценариев. При разработке стратегии развития компании возможны различные сценарии развития. Это связано с каждым из аспектов, причем каждый раздел стратегии должен быть взаимосвязан с другими. Выбрать приемлемый с точки зрения риска вариант позволяет метод анализа сценариев. В нем последовательно рассматриваются все возможные комбинации и анализируются потенциальные риски, которые сопоставляются с ожидаемой доходностью. При выявлении негативных рисков бизнеса используется для определения событий, реализация которых в совокупности приводит к невозможности достижения стратегических целей.

· Планирование непрерывности бизнеса. Метод основан на выявлении возможных проблем, которые могут привести к кризису, связанному с невозможностью осуществлять деятельность на тех же условиях, что и раньше. Существуют стандарты по планированию непрерывности бизнеса, к примеру, британский BS25999. В нем представлены типовые угрозы: эпидемии, пожары, наводнения, землетрясения, перебои в энергоснабжении, хакерские атаки, терроризм и т.д. Перечень угроз не исчерпывающий, поэтому риск-менеджер должен проанализировать, что именно грозит бизнесу. В России это традиционно административное давление, PR-атаки, для небольших бизнесов — уход ключевых сотрудников. Перечень можно продолжать.

· Рассмотрение каждого бизнес-процесса. Самый эффективный способ для выявления операционных рисков. Основан на том, что все процессы подвергаются подробнейшему изучению на предмет как возможностей для улучшения, так и негативных рисков. Метод трудоемкий, однако без такого рассмотрения существует вероятность пропустить значительное количество операционных рисков.

· HAZOP (исследование опасностей и функционирования). Название метода произошло от английских слов hazard и operability. Исследование HAZOP — это процесс детализации и идентификации проблем опасности и работоспособности системы, при этом под системой подразумевается промышленный объект. Основная задача — найти потенциально опасные процедуры, которые могут привести к нарушению функционирования системы, например, взрыву.

· Анализ видов и последствий отказов (от failure mode and effects analysis — FMEA). Метод подразумевает рассмотрение всех возможных отказов/cбоев в технологическом процессе и оценку последствий их реализации. Для его использования все возможные сбои (отказы/отключения оборудования, остановка конвейера и т.д.) классифицируются по величине последствий, и дальше подробно рассматриваются все, начиная с самых критичных.

· Анализ дерева неисправности (от fault tree analysis — FTA). Метод основан на анализе комбинаций событий нижнего уровня, которые могут привести к нежелательному состоянию. Рассмотрение идет сверху вниз для каждого из событий, то есть для определенного события, например, взрыва, рассматриваются все возможные варианты, приводящие к нему. К примеру, взрыв происходит из-за повышения давления, скажем, в котле. Соответственно, возможными вариантами могут быть выход из строя предохранительного клапана, нарушение подачи какого-нибудь компонента, приводящее к взрывному росту давления, несвоевременное реагирование обслуживающего персонала, старение оборудования и т.д.

· Рабочие группы по оценке рисков и мозговые штурмы. Для анализа рисков формируются рабочие группы, в задачи которых входит анализ рисков по определенному направлению. Идентификация в этом случае может происходить с помощью мозгового штурма.

· Анкетирование. Самый простой способ выявления рисков, основанный на опросе максимально широкого круга лиц. Может быть эффективен в начале постановки системы управления рисками.

· Аудит и инспекция, расследование причин события. Данные мероприятия позволяют выявлять текущие нарушения, а также причины совершившихся событий.