Нормативно - правовое регулирование процесса управления рисками (международные стандарты, ИСО, ГОСТ и т. д.)

ГЛАВА 2. Нормативно - правовое регулирование процесса управления рисками (международные стандарты, ИСО, ГОСТ и т. д.)

Природа риска, потенциальные угрозы состоянию различных объектов от наступления рисковых случаев, а также прочие факторы, определяющие целесообразность методологически обоснованного подхода к управлению рисками закономерно привели к формированию нормативного подхода к регулированию процесса управления рисками. Риск является фундаментальным условием существования экономических субъектов и потому должен рассматриваться в контексте достижения поставленных целей[1], должен иметь соответствующее инструментальное и инфраструктурное обеспечение (на это направлены, как правило, стандарты компаний), в некоторых случаях (системной значимости компании, принимающей на себя риски, для экономики; значимой вероятности того, что риски не будут локализованы в своих последствиях эффективностью хозяйственной деятельности компаний, но будут иметь результатом потенциальное ухудшение состояния социальной, экологической сред и т. п.) – регулироваться на безальтернативной основе (на это направлены стандарты государств, межнациональные стандарты).

В настоящее время управление рисками, как область стандартизации и средство повышения эффективности работы предприятия, является наиболее актуальным направлением деятельности. Степень зрелости процессов управления рисками существенно влияет на эффективность и бесперебойность функционирования организации. С одной стороны, неопределенность в процессах принятия решения является источником риска, с другой – открывает новые деловые возможности и может привести как к снижению, так и к увеличению прибыли. В этих условиях управление рисками становится искусством нахождения и поддержания баланса между этими двумя полюсами[2].

В стандартах управления рисками выделяется своя отраслевая специфика, что и логично – в зависимости от сферы деятельности компаний, меняется природа их риска, меняются инструменты идентификации рисков, их минимизации, управления ими. Достаточно глубоко проработаны стандарты в управлении рисками финансовых организаций – через стандарты Basel, в РФ – нормативные требования ЦБ РФ к финансовому состоянию кредитных организаций. При этом, на взгляд автора, для обеспечения чистоты исследования, стоит провести разграничение в трактовке того, что будет считаться непосредственно нормативно-правовым регулированием процесса управления рисками. Авторская позиция по данному вопросу следующая:

-  в широком смысле нормативно-правовое регулирование процесса управления рисками включает в себя всё многообразие регламентированных действий и состояний объекта во всех актуальных и целесообразных формах выражения (за исключением непосредственно документов, оперирующих категориями «риск», «управление», «стандарт»). К этой группе могут быть отнесены финансовые коэффициенты кредитных организаций, устанавливаемые центральными банками стран (требования к достаточности капитала и т. п.), направленные на управление финансовыми рисками[3]), требования к промышленной безопасности и т. п.;

-  в узком смысле нормативно правовое регулирование процесса управления рисками относится именно к документам в форме преимущественно стандартов, направленных на управление рисками.

Далее в работе предлагается сосредоточиться именно на узком подходе к трактовке нормативно-правового регулирования процесса управления рисками. Поясним данную позицию на примере серии стандартов OHSAS 18000 – серии стандартов, содержащих требования и руководящие указания к разработке и внедрению систем менеджмента промышленной безопасности и охраны труда (в российской практике - СМПБиОТ), применение которых обеспечивает возможность организации управлять рисками в системе менеджмента и повышать эффективность её функционирования[4]. Спектр развития рисковых ситуаций весьма широк и, в действительности, риски промышленной безопасности имеют место быть, а последствия их достаточно существенны. В то же время, спектр применения этих стандартов достаточно узок и не позволяет говорить о глобальном воздействии на риски экономических организаций. Аналогично и со стандартами ХАССП (англ. Hazard Analysis and Critical Control Points (HACCP) анализ рисков и критические контрольные точки), направленными на концепцию, предусматривающую систематическую идентификацию, оценку и управление опасными факторами, существенно влияющими на безопасность продукции – этот инструмент также имеет значимую социально-экономическую роль, но спектр применения этих стандартов достаточно узок и не позволяет говорить о глобальном воздействии на риски экономических организаций. Аналогично с нормативным подходом к управлению финансовыми рисками значимых для экономики организаций (банков и т. п.) установление в нормативном формате пороговых значений достаточности капитала, хотя и является нормативно-правовым регулированием процессов управления рисками, но выбирает для анализа ограниченный сегмент этого управления. Используемый стандарт – OIMS, который соответствует стандарту для систем экологического менеджмента, созданному Международной организацией по стандартизации (ISO 14001:2004). Метод оценки и управления рисками – методика Environmental, Socioeconomic and Health Impact Assessment (ESHIA). Также компания опирается на стандарты COSO «Интегрированные системы управления риска- ми на предприятиях», CorporateRiskManagement (ISO 31000) и др.) и региональных (AS/NZS 4360, CAN/CSA-Q850–97, JIS Q 2001, BS-6079-3:2000) стандартов управления рисками

Потому далее рассматривается управление рисками в нормативно-правовой форме в узком смысле, когда речь идет именно об управлении широкой совокупностью рисков именно в форме стандартов. Примерами стандартов в узком смысле мы будем считать ISO, COSO ERM, IRM, а в широком BASEL, OHSAS, HACCP и другие.

Таблица 2.1 - Стандарты управления рисками[5]

Современная история стандартизации процессов управления рисками берет свое начало в середине 1990-х гг. с развития национальных стандартов. Впоследствии – в начале 2000-х г. стандартизация управления рисками выходит на наднациональный уровень посредством отражения в стандартах семейства ISO.

Рисунок 2.1 – Развитие стандартов управления рисками за рубежом[6]

В последние годы корпорации многих стран используют новые подходы, стандарты и руководства по контролю и управлению рисками. Зарубежная практика дает уникальный опыт в виде уже разработанных документов, регламентирующих вопросы управления рисками в корпорации, а также освещающих в целом вопросы корпоративного управления.

В Соединенных Штатах Америки действует множество организаций, которые специализируются на подробном изучении, анализе рисков и продаже инструментов защиты от риска. В ключевых секторах экономики контроль над рисковым поведением относится к компетенции таких государственных служб, как Федеральная резервная система (Federal Reserve System, FRS), Федеральная корпорация по страхованию депозитов (Federal Deposit Insurance Corporation; FDIC), Комиссия по ценным бумагам и биржам (Securities and Exchange Commission, SEC).

В число основных документов, регламентирующих внутренний контроль и управление рисками компании, входит Enterprise Risk Management — Intergrated Framework, опубликованный в 2004 г. Комитетом спонсорских организаций Комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Comission, COSO). Документ содержит разработанную Комитетом общую модель внутреннего контроля, сравнивая себя с которой, компании и организации могут оценить собственные системы управления. Управление рисками рассматривается как процесс, касающийся как внешних, так и внутренних рисков, относящихся к стратегии достижения целей организации. Инструментами в достижении этих целейсчитаются структура и процедуры внутреннего контроля.

Данный документ, содержащий подробные рекомендации по созданию корпоративной системы управления рисками, можно считать концептуальной основой управления рисками компаний. COSO определяет управление рисками компании как процесс, состоящий из восьми основных компонентов:

-  Определение внутренней среды,

-  Постановка целей,

-  Определение/идентификация рисковых событий,

-  Оценка рисков,

-  Реагирование на риск,

-  Контроль,

-  Информирование и коммуникация,

-  Мониторинг.

Документ дает следующее определение управления рисками: «Это процесс, осуществляемый советом директоров, руководством и другими сотрудниками в рамках определения стратегии в масштабах всего предприятия, цель которого — выявление потенциальных событий, способных затрагивать предприятие, и управление рисками с целью получения уверенности в достижении целей организации».[7] Необходимо сделать отдельный акцент на том, что представители собственника должны использовать риск-ориентированный подход к внутренней оценке и контролю всего процесса корпоративного управления. Такой подход должен затрагивать абсолютно все аспекты внутреннего контроля.

Стандарт COSO также включает «Концептуальные основы внутреннего контроля» (InternalControl Integrated Framework) и акцентирует внимание на достоверности финансовой информации, предоставляемой компаниями, что во многом и послужило причиной его широкой популярности и распространенности в США в первую очередь среди крупнейших международных корпораций, которые котируются на американском фондовом рынке и подпадают под юрисдикцию Комиссии по ценным бумагам и биржам США (USSecuritiesand Exchange Commission).

В 2002 г. в Великобритании был опубликован Стандарт управления рисками (A Risk Management Standard), описывающий общую концепцию управления рисками, которая может быть применена клюбой компании. Усилия по разработке объединили ведущие организации по риск-менеджменту[8]:

-  Институтриск-менеджмента (The Institute of Risk Management — IRM);

-  Ассоциацияриск-менеджментаистрахования (The Association of Insurance and Risk Managers - AIRMIC);

-  Национальныйфорумриск-менеджментавобщественномсекторе (The National Forum for Risk Management in the Public Sector).

Указания по внутреннему контролю содержатся также в Объединенном Кодексе корпоративного управления (The Combined Code), состоящем из разделов-«докладов». Он был выпущен британским Советом по финансовой отчетности (Financial Reporting Council) в новой редакции, которая действует с 2008 г.[9]

В 2004 г. совместный комитет по стандартам Австралии и Новой Зеландии (Joint Standards Australia / Standards New Zealand Committee) опубликовал Стандарт Австралии / Новой Зеландии по управлению рисками (Risk Management — Australia / New Zealand Standard), который развивает стандарт 1999 г. «Управление рисками» (Risk management). В документе делается акцент на важности внедрения практик управления рисками в культуру организации, на управлении потенциальными возможностями получения прибыли вместе с возможными убытками.

Говоря о второй группе концепций ERM, более конкретных методик не только по организации, но и по внедрению комплексного управления рисками в корпорациях, отметим, что подавляющее их большинство было разработано консалтинговыми компаниями, специализирующимися на оказании услуг в области управления рисками. В основе этих методик лежат те же принципы, что и в стандартах, о которых было сказано выше. Основное их отличие в том, что стандарты, разработанные непосредственно компаниями, ориентируются в первую очередь на собственное видение проблем, связанных с рисками.

На сегодняшний день на международном уровне утверждена только терминология в области менеджмента риска (ISO/IECGuide 73:2002), общие же требования к содержанию процессов менеджмента, их структуре и составу заложены в национальных стандартах.

В основе российских проектов законов и других документов, методик, регламентирующих или рекомендующих процедуру управления рисками в корпорации, лежит зарубежная практика в данной сфере. Пример тому — отечественный стандарт в области управления рисками ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения», в основу которого положен перевод международного стандарта ISO/IEC Guide 73: 2002 Risk management. Vocabulary. Guidelines for use in standards, вышедшеговновойредакциив 2009 г. (ISO Guide 73:2009).[10]Стандарт определяет управление риском как действия, осуществляемого для выполнения решений по управлению рисками.[11]

Таким образом, можно выделить основные преимущества, которые получают корпорации от внедрения подобного подхода[12]:

-  Большая прозрачность и повышение доверия со стороны инвесторов;

-  Принятие руководством управленческих решений, учитывающих риски, возможные в появлении деятельности компании;

-  Большая уверенность в достижении установленных показателей рентабельности;

-  Более эффективное использование капитала и повышение уровня финансовой стабильности компании.

Комплексное управление рисками обеспечивает компании общее видение ситуации, позволяя выявить области деятельности, в которых потенциальновозможно появление неблагоприятных исходов, отрицательно воздействующих на работу компании в целом. Принятие грамотных и своевременных решений на основе точной информации помогает сбалансировать возможности и угрозы, что в итоге повышает финансовую стабильность и устойчивость бизнеса в целом.

Глобальная практика управления рисками через инструменты стандартизации достаточно широка: она включает в себя как межнациональные стандарты (к примеру, на базе стандартов семейства ISO), так и стандарты компаний, впоследствии расширяющиеся в своем применении на прочие экономические субъекты. Если говорить о российской практике стандартизации, то включение в сферу нормативно правового регулирования управления рисками накопленного международного опыта произошло не так давно – Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 31010 — 2011 «МЕТОДЫ ОЦЕНКИ РИСКА ISO/IEC 31010:2009 Risk management — Risk assessment techniques (IDT) – был опубликован в 2012 г. Хотя в широком смысле практика управления рисками на основах стандартизированного подхода в РФ, разумеется, шире[13].

В частных исследованиях наработанную базу стандартизации управления рисками ограничивают международными, стандартами профессиональных объединений и национальными стандартами (как это к примеру, приведено на рисунке 2.2.), что не совсем корректно – также можно выделить стандарты групп предприятий[14]. Современная практика управления рисками показывает, что понимание характера и направленности событий, с которыми связано возникновение рисков, связи между стратегией деятельности и риском, а также снижение рисков являются наиболее сложными вопросами в области управления рисками для комитетов по аудиту во всей Европе. Как минимум 50% опрошенных в Великобритании, Швейцарии, Нидерландах, Австрии и Дании считают, что их организации имеют развитые и надежные системы управления рисками. Эта цифра выгодно отличается от общемирового показателя, составившего 40%. Тем не менее, в Европе по-прежнему существует значительное количество организаций, системы управления рисками в которых нуждаются в серьезном усовершенствовании.

Некоторые советы директоров создали комитеты по управлению рисками в структуре совета для содействия осуществлению функций надзора за рисками, тогда как в других организациях пошли по пути создания исполнительных комитетов по управлению рисками. Несмотря на явные признаки того, что советы директоров многих компаний в полном составе занимаются надзором за рисками, все еще существуют компании, советы директоров которых не принимают участия в обсуждении приемлемых для организации параметров риск-аппетита.

Рисунок 2.2 – Стандарты риск-менеджмента[15]

В настоящее время в экономической практике применяются несколько концепций риска и, соответственно, подходов к управлению риском. Заметим, что под концепцией риск-менеджмента понимается система теоретико-методологических подходов к определению сущности, содержания, целей, задач, принципов и методов управления риском, а также механизм ее реализации в конкретной ситуации[16].

Каждая из приведенных концепций имеет право на существование и эффективна в тех сферах, где характеристики риска соответствуют предположениям данной концепции. Так, например, риск как опасность может рассматриваться при исследовании причин экономических флуктуаций и в сфере страхования (с точки зрения клиента). Риск как возможность отклонения результата от цели присутствует при работе на финансовых рынках и проведении спекулятивных операций, а риски-ресурсы присущи хозяйственной деятельности предприятий.

Концепции комплексного управления рисками можно распределить на две группы. Первая группа — это руководства по ERM, разработанные различными ассоциациями и профессиональными объединениями, среди которых признанными и наиболее авторитетными считаются стандарты США, Великобритании и Австралии/Новой Зеландии (которые будут рассмотрены более подробно). Вторую группу концепций ERM составляют уже более конкретные методики по организации и внедрению комплексного управления рисками в корпорации.

Основным вектором развития систем стандартизации в управлении рисками закономерно должна являться унификация процессов, инструментов, терминологии[17]. Несмотря на проведенную внутри каждого стандарта управления рисками, терминологиями унификацию, методы и цели риск-менеджмента в различных стандартах отличаются. Национальные и международные стандарты, терминология которых минимально различна. При попытке совмещения различных стандартов возможна путаница, так как дефиниция базовых терминов в них различна. Поэтому рассмотрим стандарты, получившие наибольшую мировую известность. Стандарт «Управление рисками организаций. Интегрированная модель», разработанный Комитетом спонсорских организаций комиссии Тредвея (Committee of Sponsoring Organizations of the Treadway Commission, COSO) . Данный документ представляет собой концептуальные основы управления рисками организаций и дает подробные рекомендации по созданию корпоративной системы управления рисками в рамках организации. Процесс управления рисками организации в интерпретации COSO состоит из восьми взаимосвязанных компонентов:

1) определение внутренней среды;

2) постановка целей;

3) определение (идентификация) рисковых событий;

4) оценка риска;

5) реагирование на риск;

6) средства контроля;

7) информация и коммуникации;

8) мониторинг.

Таким образом, применительно к определению составляющих процесса управления риском рассматриваемый документ следует уже сложившемуся в стандартах по риск-менеджменту пониманию процесса. В мировой практике стандарт, получивший название «Куб COSO» (рис. 2.3), устанавливает взаимосвязь между целями организации (стратегические, операционные цели, подготовка отчетности и соблюдение законодательства), организационной структурой компании (уровни компании, подразделения, хозяйственной единицы, дочернего предприятия) и уже обозначенными компонентами процесса управления рисками.

Рисунок 2.3 – Куб COSO[18]

Стандарт по управлению рисками Федерации европейских ассоциаций риск-менеджеров (FERMA) является совместной разработкой Института риск менеджмента (IRM), Ассоциации риск менеджмента и страхования (AIRMIC) и Национального форума по риск-менеджменту в общественном секторе (ALARM) (2002). В отличие от рассмотренного выше Стандарта COSO ERM в части применяемой терминологии данный стандарт придерживается подхода, принятого в документах Международной организации по стандартизации (Руководство ISO/IEC Guide 73 Risk Management — Vocabulary — Guidelines for use in standards). В частности, риск определяется стандартом как «комбинация вероятности события и его последствий». Риск-менеджмент рассматривается как центральная часть стратегического управления организацией, задачей которой является идентификация рисков и управление ими. При этом отмечается, что риск-менеджмент как единая система управления рисками должна включать в себя программу контроля над выполнением поставленных задач, оценку эффективности проводимых мероприятий, а также систему поощрения на всех уровнях организации. В соответствие со Стандартом FERMA выделяют четыре группы рисков организации: стратегические, операционные и финансовые, а также риски опасности.

Следующим уровнем развития стандартизации в области риск-менеджмента является подготовка общего стандарта ISO в области управления рисками. Стандарт ISO 31000 «Риск-менеджмент — Принципы и руководства по применению» (Risk Management — Principles and guidelines on implementation). Разработку данного документа в 2009 г. завершила Рабочая группа по стандартизации в области риск-менеджмента, состоящая из представителей национальных органов по стандартизации 26 стран. Одновременно с этим был обновлен Стандарт Руководство ИСО/МЭК 73:2002, разработан Стандарт ISO/МЭК 31010 «Риск-менеджмент — Руководство по оценке риска» (ISO/IEC 31010 Risk Management — Risk assessment guidelines).

Отметим, что в настоящее время на территории РФ широкое получил комплекс стандартов COSO. Кроме того в 2012 году в России в действие был введен международный стандарт ISO 31000:2009. В каждом из них был предложен свой перечень методов воздействия на риск. Проведенный анализ методов воздействия на риск, установленных этими стандартами с целью выявления общих черт и отличий между ними. COSO выделяет четыре метода воздействия (реагирования) на риск – уклонение от риска, его сокращение, перераспределение и принятие. В отличие от COSOISO 31000:2009 было выделено семь методов воздействия на риск (обработки риска) – обходной путь риска посредством решения не начинать или не продолжать деятельность, которая провоцирует появление риска; сохранение или увеличение риска с целью исследовать обстоятельство; удаление источника риска; изменение вероятности и др.

Таблица 2.2. - Анализ методов воздействия на риск, установленных стандартами COSO и ISO[19]

В ходе проведения анализа установлено, что каждому из четырех методов реагирования на риск, описанных COSO соответствуют несколько методов обработки риска, установленных ISO 31000:2009. Так, например, уклонению от риска соответствуют обходной путь риска посредством решения не начинать или не продолжать деятельность; удаление источника риска; изменение вероятности; изменение последствий. Таким образом, методы воздействия на риск, установленные каждым из указанных выше стандартов идентичны друг другу по своему содержанию, хотя и имеют различную форму отражения.

Таким образом, процесс управления рисками имеет широкую и глубокую базу в форме стандартизированных процедур национального и наднационального характера, собственных стандартов компаний, отраслевых стандартов и стандартов, характеризующихся определенным уровнем универсальности.

[1] УНДАМЕНТАЛЬНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ РИСКА, РИСК-МЕНЕДЖМЕНТА И РАСКРЫТИЕ ИХ СОДЕРЖАНИЯ В МЕЖДУНАРОДНЫХ И ОТЕЧЕСТВЕННЫХ СТАНДАРТАХ // РИСК: Ресурсы, информация, снабжение, конкуренция. 2013. № 4. С. 184-188.изующихся определенным уровнем универсальности. а, собственных стандартов компаний, отраслевых ст

[2] , Папахова управления рисками // Россия в ВТО: проблемы, задачи, перспективы. Сборник научных статей, вып. 13/ Под общей редакцией проф. . – СПб.: НОУ ВПО «Институт бизнеса и права», 2012.- 364 с

[3] , Алиев управление банковскими рисками // Международный журнал прикладных и фундаментальных исследований. - 2016. - № 2-1. - С. 59-62.

[4] С 01.01.2013 вступил в силу ГОСТ Р 54934-2012/OHSAS 18001:2007 "Системы менеджмента безопасности труда и охраны здоровья. Требования" являющийся идентичным стандарту OHSAS 18001:2007 (утвержден Приказом Федерального агентства по техническому регулированию и метрологии -ст).

[5] , Папахова управления рисками // Россия в ВТО: проблемы, задачи, перспективы. Сборник научных статей, вып. 13/ Под общей редакцией проф. . – СПб.: НОУ ВПО «Институт бизнеса и права», 2012.- 364 с

[6] Составлено по «Обзор стандартов управления рисками. Паллада Эссет менеджмент. 2015 г. – 12 с.»; еждународные стандарты управления рисками: не Базелем единым // РЦБ. – 2015. - №5. – С. 23-33.

[7] Enterprise Risk Management — Integrated Framework. Executive Summary / COSO [Electronic resource] / Mode of access: http://www. coso. org/documents/coso_erm_executivesummary. pdf

[8]A Risk Management Standard / The Institute of Risk Management [Electronic resource] / Mode of access: www. theirm. org/publications/documents/Risk_Management_Standard_030820.pdf

[9]The Combined Code on Corporate Governance, Financial Reporting Council / ECGI [Electronic resource] / Mode of access: www. ecgi. org/codes/documents/combined_code_june2008_en. pdf

[10] ISO Guide 73 : 2009. Risk management. Vocabulary / International Organization for Standardization [Электронныйресурс] URL: http://www. iso. org/iso/home/store/catalogue_ics/catalogue_detail_ics. htm? csnumber=44651

[11] Государственный стандарт РФ ГОСТ Р 51897–2002 «Менеджмент риска. Термины и определения» / RusCable. ru [Электронный ресурс] URL: http://www. ruscable. ru/doc/docgost/files/75435555311.pdf

[12] , Финогенова рисками в условиях финансовой нестабильности. М.: Магистр: ИНФРА-М, 2010, С. 56

[13] Начиная от стандартов безопасности и заканчивая относительно современными стандартами управления проектами (ГОСТ Р 52806-2007. Менеджмент рисков проектов. Общие положения)

[14] , Пономаренко проблемы риск-менеджмента на предприятиях минерально-сырьевого комплекса // Управление экономическими системами: электронный научный журнал. - 2015. - № 9 (81). - С. 10.

[15] Вяцкова стандартов по управлению рисками // Сибирский экономический вестник. - 2015. - № 1. - С. 91-104.

[16] Тамошина хозяйственным риском / , , . – Воронеж: Истоки, 2006. – С.14.

[17] , Макашова стандартов в области управления рисками // Современные тенденции развития науки и технологий. - 2015. - № 1-5. - С. 79-81.

[18] Составлено по «Обзор стандартов управления рисками. Паллада Эссет менеджмент. 2015 г. – 12 с.»; еждународные стандарты управления рисками: не Базелем единым // РЦБ. – 2015. - №5. – С. 23-33.

[19] УПРАВЛЕНИЕ РИСКОМ ПО СТАНДАРТАМ COSO И ISO: СРАВНЕНИЕ МЕТОДОВ ВОЗДЕЙСТВИЯ НА РИСК // В сборнике: Управление инновационным развитием современного общества: тенденции, приоритеты: экономические, социальные, философские, политические, правовые, общенаучные закономерности Материалы международной научно-практической конференции. ООО "Академия управления" ФГБОУ ВПО "Новосибирский государственный технический университет", кафедра "Производственный менеджмент и экономика энергетики"; ответственный редактор . 2014. С. 57-62.