Стандарт FERMA
Модель была разработана Федерацией европейских ассоциаций риск-менеджеров (Federation of European Risk Management Association – FERMA). Стандарт управления рисками (Risk Management Standard – RMS) является результатом общей работы нескольких ведущих организаций, которые занимаются вопросами риск-менеджмента в Великобритании – Института риск-менеджмента (IRM), Ассоциации риск-менеджмента и страхования (AIRMIC), а также Национального форума риск-менеджмента в общественном секторе[1]. Помимо этого, в разработку стандартов большой вклад внесли профессиональные организации и объединения, которые занимаются вопросами управления рисками и проявляют большой интерес к тематике риск- менеджмента.
1. Риск-менеджмент – быстро развивающееся направление менеджмента. Существует множество описаний различных видов того, что включает в себя понятие риск-менеджмента, как им руководствоваться и с какой целью, этим и было обусловлено принятие стандартов. В результате было достигнуто согласие по вопросам используемой терминологии (при разработке стандартов использовались термины Международной организации по стандартизации в документе ISO/IEC Guide 73 Risk Management – Словарь – для практического использования стандартов), процессам практического применения риск-менеджмента, организационной структуры и целей.
Особенно важно понимать, что стандарты управления рисками состоят как из "положительных", так и "негативных" аспектов риска для компании. Риск-менеджмент – не просто инструмент для коммерческих и общественных организаций, в первую очередь это руководство для любых действий как в краткосрочном, так и в долгосрочном разрезе жизнедеятельности организации.
Понятие риск-менеджмента включает в себя анализ и оценку сильных и слабых сторон организации в самом широком смысле, с точки зрения взаимодействия со всевозможными контрагентами. Существует много путей достижения целей риск-менеджмента, поэтому практически невозможно объединить все направления в единый документ. Именно поэтому Стандарт управления рисками не призван быть нормативным, применение его положений не приведет к заполнению соответствующих форм или к началу сертификационного процесса. Следуя компонентам данного стандарта и выбирая различные способы и методы, организации смогут демонстрировать свое соответствие. Стандарт управления рисками (Risk Management Standard), но признанию ряда западных специалистов, является "лучшей практикой", относительно которой организации могут оценивать самих себя.
Внутренние и внешние факторы. Возникновение рисков компании обусловлено как внешними, так и внутренними факторами.
В соответствии со стандартом PERMА выделяют следующие четыре типа рисков:
• финансовые (процентная ставка, курс валют, кредит);
• стратегические (конкуренция, изменения потребительского рынка, отраслевые изменения);
• операционные (законодательство, культура, состав совета директоров);
• опасности (договора, естественные опасности, поставщики, окружающая среда).
Их можно отнести к внешним факторам.
К внутренним факторам относят ликвидность средств, денежный поток, исследования, интеллектуальный капитал, коммерческую службу, персонал, имущество, продукцию и услуги, бухгалтерский учет, информационные технологии, набор кадров, поставки сырья.
Процесс риск-менеджмента в соответствии с моделью FERMA (рис. 3.5). Риск-менеджмент способствует защите организации и се капитализации посредством:
Рис. 3.5. Процесс риск-менеджмента в соответствии с моделью FERMA
• применения системного подхода, который позволяет планировать и осуществлять долгосрочную деятельность организации;
• совершенствования процесса принятия решений и стратегического планирования путем формирования общего понимания структуры бизнес-процессов, изменений, которые происходят вокруг, потенциальных возможностей и угроз для компании;
• вклада в процесс наиболее эффективного использования / варианта размещения капитала и ресурсов организации;
• уменьшения степени неизвестности менее критических аспектов деятельности организации;
• защиты всех имущественных интересов организации, сохранения и улучшения имиджа компании;
• повышения квалификации сотрудников и создания единой базы "знаний";
• оптимизации бизнес-процессов.
2. Анализ и оценка рисков. В соответствии со стандартами ISO/IEC оценка риска – это анализ риска и качественная/количественная его оценка.
1) Идентификация. Идентификация рисков представляет процесс, при котором выявляется подверженность компании неизвестности, рискам. Подразумевается наличие наиболее полной информации о самой организации, рынке, существующем законодательстве, политическом, социальном и культурном окружении, а также информации о стратегии компании, ее движении к поставленным целям. К процессу идентификации применяется методологический подход, который позволяет выявить наибольшее число рисков из всех возможных сфер деятельности компании.
Любые бизнес-процессы можно классифицировать по различным параметрам, например следующим образом:
• стратегические – долгосрочные цели компании, к ним относятся вопросы наличия и достаточности капитала, существующие политические риски, изменения законодательства, репутация компании и ее имидж, изменения, происходящие в окружающей среде;
• операционные – текущие ежедневные вопросы, успешное решение которых приведет к достижению стратегических целей компании;
• финансовые – управление и контроль за финансовыми ресурсами организации, влияние внешних факторов, таких как наличие кредитных средств, изменение курса валют, процентной ставки и т.п.;
• управление знаниями и информацией – владение, управление и контроль за интеллектуальной собственностью организации; охрана коммерческой тайны использование всех современных способов обмена и хранения информации;
• регулятивные – полное соответствие законодательству в вопросах охраны труда, охраны окружающей среды и прав потребителей, техники безопасности и т.д.
Обычно идентификация рисков осуществляется независимыми консультантами. Несмотря на это, взгляд изнутри, анализ рисков своей организации также является источником необходимой информации.
2) Описание. Данный этап заключается в подробном описании выявленных рисков, использующем определенную форму (табл. 3.3). Учитывая вероятности и последствия выявленных рисков, на данном этапе возможно выделение приоритетных рисков, с которыми необходимо работать в дальнейшем.
Таблица 3.3
Описание риска
|
Наименование риска |
Описание выявленных рисков |
|
Сфера риска |
• Описание ключевых событий, определение размера, типа, количества и сферы воздействия |
|
Тип риска |
• Стратегический, операционный, финансовый, знания/информация, регулятивный |
|
Заинтересованные лица |
• Заинтересованные лица и их ожидания |
|
Количественное выражение риска |
• Значение последствий и вероятности рисков |
|
Приемлемость риска |
• Вероятные убытки и их финансовое влияние • Цена риска • Вероятность и размер возможных убытков/ прибыли • Цели контроля над риском и желаемый уровень исполнения поставленных задач |
|
Управление риском и механизмы контроля |
• Применяемые методики управления риском • Уровень надежности существующей программы контроля над риском • Наличие протоколов учета и анализа контроля над риском |
|
Возможности для улучшения |
• Рекомендации по снижению риска |
|
Стратегические и управленческие изменения |
• Определение степени ответственности (функции) за разработку и внедрение стратегии/управления риском |
3) Измерение. Измерять риски можно количественным, качественным или смешанным способом. Вероятность, последствия и влияние рисков могут быть измерены как высокие, средние и низкие (табл. 3.4–3.6). Каждая организация выбирает индивидуальны методы оценки в зависимости от специфики своего бизнеса.
Таблица 3.4
Последствия (угрозы и возможности) – форма для заполнения
|
Уровень риска |
Последствия |
|
Высокий |
• Финансовые последствия не превысят $Х • Существенное влияние на стратегическое развитие и деятельность компании • Существенная обеспокоенность заинтересованных лиц |
|
Средний |
• Финансовые последствия находятся в пределах $Х и $Y • Умеренное влияние на стратегическое развитие и деятельность компании • Умеренная обеспокоенность заинтересованных лиц |
|
Низкий |
• Финансовые последствия ниже S Y • Достаточно слабое влияние на стратегическое развитие и деятельность компании • Заинтересованные лица проявляют слабую обеспокоенность |
Таблица 3.5
Вероятность события (угрозы)
|
Оценка вероятности |
Описание |
Индикаторы |
|
Высокая (вероятно) |
• Вероятность наступления ежегодна или больше чем 0,25 |
• Вероятность того, что событие наступит несколько раз в течение определенного периода времени (например, 10 лет) • Событие произошло недавно |
|
Средняя (возможно) |
• Существует вероятность наступления события в течение 10 лет, иными словами, вероятность наступления меньше чем 0,25 |
• Событие может произойти несколько раз в течение определенного периода времени • Сложно контролировать из-за влияния внешних факторов • Существует статистика наступления события |
|
Низкая (отдаленно) |
• Практически отсутствует вероятность наступления события в течение 10 лет или вероятность наступления меньше, чем 0,02 |
• Событие ранее не наступало • Вероятность наступления события мала |
Таблица 3.6
Вероятность события (возможности)
|
Оценка вероятности |
Описание |
Индикаторы |
|
Высокая (вероятно) |
Положительные результаты скорее всего наступят в течение года, или вероятность положительного результата выше, чем 0,75 |
• Четкая и явная возможность, наступление результата возможно в краткосрочный период при использовании установленных бизнес-процессов |
|
Средняя (возможно) |
Возможны положительные результаты в течение года с вероятностью наступления от 0,25 до 0,75 |
• Возможности могут быть достижимы при планомерном и четком руководстве • Дополнительные возможности появляются из существующих планов |
|
Низкая (отдаленно) |
Положительные результаты, возможно, наступят в ближайшее время, или вероятность наступления положительных результатов меньше, чем 0,25 |
• Вероятные возможности, которые требуют дополнительного изучения • Маловероятные возможности при существующем менеджменте |
4) Методы и технологии анализа рисков. Анализ рисков можно осуществлять при помощи различных методов и технологий. Некоторые из них применимы только для положительных или негативных рисков, другие – для всех видов.
Методы и технологии оценки положительных рисков:
• маркетинговые исследования;
• перспективный анализ;
• тестирование;
• НИОКР;
• анализ бизнес-эффекта.
Методы и технологии оценки любых рисков:
• моделирование взаимозависимостей;
• SWOT-анализ;
• "дерево событий";
• поддержание непрерывности бизнес-процессов;
• BPEST-анализ (бизнес, политический, экономический, социальный анализ);
• опциональное моделирование;
• принятие решений в условиях риска и неопределенности;
• статистический анализ;
• построение тенденций и дисперсии;
• PESTLE-апализ.
Методы и технологии оценки негативных рисков:
• анализ угроз;
• "дерево ошибок";
• FMEA-аналнз.
5) Карта рисков (Risk Profile). После описания рисков целесообразно построение карты рисков, которая дает рискам взвешенную оценку, а также расставляет приоритеты мероприятий по снижению риска. Разработка карты позволяет выявить рисковые зоны бизнеса, описать существующие в настоящее время методы контроля за рисками и разработать меры по совершенствованию контроля или изменению его механизмов. Помимо этого карта рисков – это отличный инструмент для назначения ответственных за исполнение тех или иных контрольных мероприятий, распределения человеческих ресурсов.
3. Качественная/количественная оценка рисков. Вслед за проведенным анализом рисков необходимо оценить выявленные риски, разработав критерии для данной компании (они могут включать учетную политику, себестоимость продукции, законодательные требования, социально-экономические аспекты, ожидания заинтересованных лиц и т.д.). Оценка позволит определить значимость каждого риска для организации, что будет основой для дальнейшей разработки системы покрытия рисков.
4. Мероприятия по управлению рисками. Они направлены на выбор наиболее приемлемых методов для изменения степени риска, сюда входят контроль риска, мероприятия по передаче, финансированию и предупреждению риска и т.п.
Стоит учитывать, что в данной модели финансирование риска (программа страхования) понимается как финансирование последствий риска. Обычно финансирование рисков не предполагает вложение средств в мероприятия по управлению рисками (ISO/IEC Guide 73).
Система мероприятий должна быть направлена на обеспечение следующего минимума:
• надежность и эффективность работы компании;
• эффективность системы внутреннего контроля (СВК);
• соответствие законодательству.
Разработанные мероприятия по управлению рисками будут гарантировать надежность и эффективность деятельности компании благодаря определению рисков, требующих повышенного внимания со стороны руководства, а также расстановке приоритетов рисков, ориентируясь на цели организации.
При оценке эффективности системы внутреннего контроля основным критерием является предупреждение риска установленными методами. Также эффективность оценивается путем сопоставления расходов на мероприятия по управлению рисками с уменьшением степени подверженности риску. Кроме того, можно оценить возможный ущерб при отсутствии мероприятий по управлению рисками. Это позволит принять руководству решение о проведения конкретного мероприятия.
Еще одним важным направлением системы внутреннего контроля является соответствие законодательству, это неотъемлемая часть успешной деятельности организации.
Основой финансирования большинства рисков является страхование, однако не все риски подлежат страхованию (здоровье сотрудников, социально-экологические аспекты, репутация и др.), что также стоит учитывать.
5. Мониторинг. Эффективность управления рисками в организации может быть достигнута только при своевременном контроле и внесении при необходимости корректив в процесс управления рисками. Данный этап подразумевает проведение не только аудита системы управления рисками, но и осуществление постоянного мониторинга соответствия стандартам управления рисками. Достаточно сложным моментом на этапе мониторинга является динамичное развитие компании и среды, в которой она находится. Это требует от системы управления рисками постоянных обновлений, актуализации имеющейся информации и рисках на предприятии. Таким образом, мониторинг придает уверенность руководству в использовании верных методов внутреннего контроля, а также в корректном следовании процедурам программы управления рисками. Система постоянного мониторинга позволяет:
• делать анализ эффективности внедренных мероприятий по изменению степени риска;
• обеспечивать необходимый уровень достоверности информации;
• аккумулировать необходимый опыт и знания для последующего принятия решений, как при анализе, так и при оценке рисков, методов и способов управлениями ими.
В заключение представляем сводную сравнительную таблицу подходов к оценке и управлению рисками (табл. 3.7).