Файл: Разработка процедуры управление рисками для предприятия.pdf

12
Воздействие на риск. Воздействие на риск включает выбор одного или более вариантов модифицирования рисков и применение этих вариантов.
Будучи примененным, воздействие на риск устанавливает или изменяет сред- ства управления.
Мониторинг и пересмотр. Мониторинг и пересмотр должны быть плани- руемой частью процесса риск-менеджмента и включать регулярную проверку или надзор. Они могут быть периодическими, произвольными.
Обновлённый ГОСТ Р ИСО 9001-2015 вводит понятие «Риск- ориентированное мышление» и означает необходимость рассмотрения риска при принятии решения о строгости и важности подхода к планированию и управлению как системой менеджмента качества, так же процессами и видами деятельности.
Риск-ориентированное мышление необходимо для достижения результа- тивности системы менеджмента качества [5].
Чтобы соответствовать требованиям системы менеджмента качества ор- ганизации необходимо планировать и внедрять действия, связанные с рисками и возможностями. Определять, чего организация хочет достичь, а именно цели и намеченные результаты. При планировании системы организация должна оценить, что может оказать влияние на достижение этих целей и намеченных результатов; это включает определение связанных рисков и возможностей [9].
Организация должна рассматривать как внутренние, так и внешние фак- торы, соответствующие заинтересованные стороны, которые могут повлиять на достижение системой менеджмента качества ее намеченных результатов. При определении потребностей этих заинтересованных сторон должны быть опре- делены риски и возможности для системы менеджмента качества [9].
При определении рисков и возможностей организация должна сосредото- читься на увеличении желаемого влияния, создавая новые допустимости и предотвращая или уменьшая нежелательное влияние (посредством снижения риска или «предупреждающего» действия). Предупреждение риска означает принятие «риск-ориентированного мышления», и организация должна

13 рассмотреть применение этого подхода ко всем процессам, требуемым для ее системы менеджмента качества [9].
Одним из ключевых изменений стандарта ИСО 9001, предусмотренным в версии 2015 года, является введение системного подхода к учету рисков вместо разбиения их на индивидуальные компоненты системы менеджмента качества.
В предыдущих изданиях ИСО 9001 предупреждающие действия были вынесены в отдельный раздел. Сейчас учет рисков ведется в рамках всего стан- дарта, например в предисловии описана суть мышления, основанного на оценке рисков, в разделе термины и определения ИСО 9001-2015 определяет риск как влияние неопределенности на ожидаемый результат.
Цель системы менеджмента состоит в обеспечении соответствия и удо- влетворении потребителей.
В ИСО 9001-2015 концепция, основанная на оценке рисков, рассматрива- ется в контексте достижения цели следующим образом:
- в разделе 4 «Среда организации», организация должна определять рис- ки, которые могут повлиять на достижение цели системы менеджмента;
- в разделе 5 «Лидерство», высшее руководство должно демонстрировать приверженность к выполнению требований раздела 4;
- в разделе 6 «Планирование», организация должна предпринимать дей- ствия по выявлению рисков и возможностей;
- в разделе 8 «Операции», организация должна внедрить процессы учета рисков и возможностей;
- раздел 9 «Оценка эффективности» требует, чтобы организация осу- ществляла мониторинг, измерение, анализ и оценку рисков и возможностей;
- раздел 10 «Улучшение» требует, чтобы организация предпринимала меры по улучшению путем реагирования на изменения рисков.
Следуя подходу, основанному на оценке рисков, организация будет реа- гировать на проблему, не по мере возникновения, а предупреждая или умень- шая нежелательные последствия и активно работая в направлении

14 непрерывного улучшения. Когда система менеджмента основана на оценке рисков, предупреждающие действия выполняются автоматически.
ИСО 9001 не требует формализованных методов менеджмента рисков при идентификации рисков и возможностей. Организация может выбирать ме- тод, подходящий ее потребностям. ГОСТ Р ИСО/МЭК 31010-2011 предоставля- ет большой перечень методик оценки рисков, некоторые из которых могут быть приемлемыми в зависимости от условий организации [9].
Применение риск-ориентированного мышления может помочь организа- ции развить проактивную и предупреждающую культуру, ориентированную на то, чтобы делать лучше отдельные вещи и улучшать работу в целом [9].
Определив риски и возможности, которые могут оказать влияние на си- стему менеджмента качества, организация должна спланировать действия в от- ношении их. Установленные действия должны быть включены в процессы и системы менеджмента качества, и всего бизнеса, а результативность этих дей- ствия должна оцениваться. Эти действия могут включать в себя, например, раз- работку соответствующих средств управления для существующих процессов системы менеджмента качества или разработку новых процессов как ответная реакция на возможность.
Существует много действий, которые организация может предпринять в отношении риска. Для менеджмента качества характерна разработка средств управления, которые включают, например, контроль, мониторинг и измерение процессов, продукции и услуг, калибровку, проектирование продукции и про- цессов, корректирующие действия, и в частности обеспечение распространения их на другие соответствующие области организации, установленные методы и рабочие инструкции, обучение и привлечение компетентных лиц.
Оценивая спрос рынка, можно определить возможности, например, пред- ложение новых услуг или продукции, или использование новой технологии для разработки более совершенных систем, например, онлайн-сервисы для потре- бителей или цепочки поставок. Путем анализа результативности процессов си- стемы менеджмента качества могут быть определены возможности для

15 сокращения отходов или улучшения результатов и деятельности. Организация должна планировать действия в отношении возможностей, благодаря которым она стремится получить преимущества.
Реестр риска является одним из способов представления и хранения ин- формации об опасных событиях и риске. В реестр риска обычно включают ос- новные виды опасностей, применяемые методы оценки и снижения риска и ме- роприятия по предупреждению, снижению и обработке риска. При разработке реестра риска необходимо учитывать соответствующие законодательные и обя- зательные требования, а также иную доступную информацию о видах опасно- сти и риске их возникновения. Однако составление реестра риска, особенно при наличии большого количества источников опасности, требует больших усилий, затрат времени, финансовых средств, а также накопления необходимого объема информации.
Реестр риска должен содержать данные по идентификации опасных со- бытий и оценке их риска, а также данные о возможных последствиях воздей- ствия этих опасных событий на деятельность организации в стоимостном и ма- териальном выражении. В реестр риска включают также оценку выполнения мероприятий по обработке риска. Форма реестра риска приведена в таблице 1.
В зависимости от особенностей организации форма и содержание реестра риска могут быть изменены или дополнены. Форма реестра риска должна быть утверждена высшим руководством организации [2].
Таблица 1 – Форма реестра риска
Категория риска
Описание риска
Ущерб от риска
Вероятность риска
Оценка риска
Мероприятия по снижению риска
Исполнители и сроки
Составление реестра риска начинают с определения области применения реестра риска и, в частности, с определения объектов реестра риска. Объектами реестра риска могут быть, организация в целом, ее структурное подразделение

16 или его часть, продукция, услуга, процесс или вид деятельности, персонал или отдельные работники.
Распределение ответственности за разработку и ведение реестра риска должно соответствовать этапам менеджмента риска, поскольку внесение ин- формации в реестр риска и ее корректировку следует выполнять после завер- шения каждого этапа менеджмента риска.
Реестр риска является планом действий, так как в реестре риска кроме идентификации опасностей и оценки риска определены необходимые меропри- ятия по снижению риска, сроки их внедрения и ответственные за их выполне- ние.
Реестр риска является основой для обмена информацией руководства с персоналом и другими заинтересованными лицами, поскольку содержит пере- чень текущих проблем организации, связанных с риском, и сведения о том, как, кто и когда этими проблемами управляет.
Основными этапами разработки и ведения реестра риска являются, опре- деление области применения реестра риска, распределение ответственности в соответствии с этапами процесса менеджмента риска, заполнение реестра риска по мере выполнения этапов менеджмента риска, пересмотр и актуализация ре- естра риска.
При создании, внедрении и поддержке реестра риска в организации сле- дует учитывать, политику, стратегические и тактические цели организации в области менеджмента риска, особенности изготавливаемой продукции и оказы- ваемых организацией услуг, основные производственные процессы и процессы менеджмента организации, установленные и используемые методы анализа и оценки риска, законодательные и обязательные требования, требования при- частных сторон, условия использования выпускаемой продукции.
Использование реестра риска является неотъемлемой частью успешной практики менеджмента риска организации. Эффективное ведение реестра риска позволяет улучшать результаты бизнеса путем идентификации и анализа воз- можных проблем и принимать более обоснованные решения.

17
Реестр риска позволяет организациям на местном, региональном и феде- ральном уровнях сопоставлять данные о риске и применять апробированные методы предупреждения опасных событий и инцидентов и реагирования на них.
Чтобы соответствовать требованиям ГОСТ Р 57189-2016 организации необходимо планировать и внедрять действия, связанные с рисками и возмож- ностями.
Направление усилий на риски и возможности создает основу для дости- жения улучшенных результатов, повышения результативности СМК и предот- вращение неблагоприятных последствий [5].

18
Рисунок 2 – Этапы процесса управления рисками
На 3-м этапе принимаются решения об используемых методах управле- ния рисками, что может затребовать уточнения информации о рисках (этап 1) или определить схему процесса мониторинга (этап 5). Такова логика последо- вательности реализации этапов управления риском на предприятии. Теперь рассмотрим каждый из этих этапов несколько подробнее.
Этап 1. Идентификация и анализ риска. Под идентификацией рисков понимают выявление рисков, их специфики, выделение особенностей их реали- зации, включая изучение размера экономического ущерба, а также изменение рисков во времени, степень взаимосвязи между ними и изучение факторов, влияющих на них. Этот процесс подразумевает определение таких моментов как, источники неопределенности и риска, последствия реализации риска, ис-

19 точники информации, численное определение риска, взаимное влияние рисков друг на друга.
На данном этапе, прежде всего, создается информационная база для реа- лизации дальнейшего процесса управления рисками: сведения о риске, его по- следствиях и величине экономического ущерба, количественная оценка пара- метров риска и т.д. Дополнительно следует отметить, что идентификация и анализ риска осуществляются не единовременно. Скорее они представляют со- бой непрерывный процесс, осуществляемый в риск-менеджмента.
Этап 2. Анализ альтернатив управления риском. Существует целый набор разнообразных методов, позволяющих снизить степень риска и величину ущерба. На данном этапе такие методы рассматриваются и анализируются при- менительно к конкретной ситуации. Т.е. менеджер решает, как можно снизить риск, потери в случае наступления рисковой ситуации, ищет источники покры- тия этого ущерба.
Сами по себе методы риск-менеджмента достаточно разнообразны. Это связано с неоднозначностью понятия риска и наличием большого числа крите- риев их классификации. В следующем разделе данной главы мы более подроб- но рассмотрим основные методы, а здесь ограничимся лишь кратким их обзо- ром.
Подходы к управлению рисками можно сгруппировать по способам ми- нимизации негативного влияния неблагоприятных событий.
Уклонение от риска – это набор мероприятий, приводящих к полному из- беганию влияния неблагоприятных последствий рисковой ситуации. Следова- тельно, локализация риска – это действия, приводящие к уменьшению ущерба путем выделения наиболее рисковых активов и придания им полной автономии
(финансовой, управленческой, научной). В данном случае фирма принимает риски на себя.
Диссипация риска – это меры, позволяющие переложить ответственность и возмещение возникающего вследствие наступления рисковой ситуации ущерба на другого субъекта.

20
Компликация риска включает в себя следующие методы, дособытийные методы управления рисками – осуществляемые заблаговременно мероприятия, направленные на изменение существенных параметров риска (вероятность наступления, размеры ущерба). Сюда можно отнести методы трансформации рисков, которые связаны, в основном, с препятствованием реализации риска.
Обычно эти методы ассоциируются с проведением превентивных мероприятий.
Послесобытийные методы управления рисками – методы, осуществляе- мые после наступления ущерба и направленные на ликвидацию последствий.
Они направлены на формирование финансовых источников, используемых для покрытия ущерба. В основном это методы финансирования риска.
В графическом виде обе приведенные здесь классификации представлены на рисунке 3.
Этап 3. Выбор методов управления риском. Здесь менеджер формирует антирисковую политику для фирмы, а также политику, направленную на сни- жение степени неопределенности в работе. Основные вопросы, на которые необходимо обратить внимание, сводятся к следующим видам, например, вы- бор наиболее эффективных методов управления рисками, определение влияния выбранной программы на совокупный риск в деятельности организации.
Рисунок 3 – Классификация методов управления рисками

21
Выбор методов управления рисками сводится к расчету экономико- математической модели, где критериями и ограничениями выступают экономи- ческие и вероятностные характеристики риска (определенные на первом этапе процесса риск-менеджмента). Однако здесь могут добавляться и другие пара- метры, например, технические или социальные.
При разработке системы риск-менеджмента менеджер должен учитывать, прежде всего, принцип ее результативности. Он заключается в том, что управ- ляющие воздействия должны направляться не на все, а в первую очередь, на те риски, которые оказывают наибольшее влияние на деятельность компании. В условиях, скажем, бюджетных ограничений, наиболее незначительные риски должны отбрасываться с целью экономии ресурсов (пассивная стратегия). В то же время за счет освобожденных средств проводится интенсивная работа с бо- лее серьезными рисками (активная стратегия).
Результат данного этапа – программа управления рисками на предприя- тии. Она представляет собой детальное описание мероприятий, которые необ- ходимо предпринять, ресурсное и информационное обеспечение, критерии определения эффективности программы, распределение ответственности и др.
Этап 4. Исполнение выбранного метода управления риском. Здесь непо- средственно реализуется программа, разработанная на предыдущем этапе. Во- просы, которые решаются на данном этапе, касаются технической специфики принимаемых решений, например, конкретные мероприятия, которые следует реализовать, сроки исполнения этих мероприятий, источники и состав ресур- сов, необходимых для осуществления этой работы, определение ответственных лиц.
Таким образом, устраняются противоречия и двусмысленность в плани- ровании и контроле исполнения программы управления риском.
Этап 5. Мониторинг результатов и совершенствование системы управ-
ления риском. Данный этап реализует обратную связь в системе управления рисками. Первая задача этой связи заключается в определении общей эффек-