Оценка компании на предмет управления рисками

Про управление рисками

Управление рисками – неотъемлемая часть деятельности успешной, развивающейся организации.

Такое управление призвано упростить условия работы организации в постоянно меняющихся внешних, непредсказуемых или мало прогнозируемых условиях. При этом выявление новых возможных проблем идёт постоянно, как и контроль за результатами ранее производимых риск-менеджерами действий.

Реальная оценка экономических, производственных и других организационных показателей помогает отделу риск-менеджмента компании вырабатывать изменённые, новые меры или корректировать старые для достижения наименее рискового состояния компании. Могут быть выявлены целые зоны риска или отдельные менее вероятные события.

Всё зависит от специфики работы и величины анализируемой организации.

Сущность управления рисками

Управление рисками представляет собой комплекс мероприятий, которые направлены на выявление возможных негативных для конкретного бизнеса факторов и оценку вероятности их возникновения.

В условиях современной конкуренции, которая наблюдается в любой сфере деловой деятельности производственного предприятия или организации сферы услуг, управление рисками – одно из приоритетных направлений работы компании.

Результатом грамотного управления должна стать минимизация или полное устранение отрицательного влияния, которое может быть оказано воздействием возникших рискованных событий на прибыльность и целостность организации.

Иными словами, управление рисками работает с теми обстоятельствами, которые возникают как препятствие для функционирования/развития компании.

Для плодотворной работы с угрозами организовывается система управления рисками. Также эта работа может быть названа риск-моделированием. Она включает в себя выявление возможных рисков на основе имеющихся данных и разработку специальных мер по устранению или минимизации этих угроз.

Иногда помогают типичные решения, но также приходится разрабатывать и специальные. При этом учитываются такие факторы как бюджет, доступные ресурсы, степень вероятности осуществления того или иного события.

Понятие и содержание систем управления рисками

Система управления рисками – это устоявшийся или постоянно меняющийся и дополняющийся комплекс (план) мер по оценке вероятности возникновения угроз предприятия.

Действенная система управления рисками включает в себя:

  • прогнозы возникновения той или иной угрозы;
  • анализ возможных, гипотетических причин возникновения каждой выявленной угрозы;
  • разработку стратегии (стратегий) по устранению негативных последствий, прекращению или минимизации влияния рисковых факторов;
  • формирование благоприятных условий для внедрения ранее разработанных стратегий;
  • постоянное проведение системного мониторинга ситуаций, связанных с угрозами организации;
  • анализ и промежуточный контроль результатов внедрения противорисковых стратегий.

Согласно вышеуказанному содержанию системы управления рисками (СУР) на первом этапе всегда выполняется выявление любых возможных рисков с учётом специфики деятельности компании. Также определяется степень их влияния на организацию и её работу.

При этом используются методы количественного и качественного анализа. В зависимости от опасности или степени влияния потенциального риска на компанию и её прибыль составляется, согласовывается и вводится в действие план по управлению этими угрозами.

Когда СУР внедряется на предприятии и начинает свою работу, составляется аналитика влияния этой системы на финансовые показатели работы фирмы. Выявленные таким образом закономерности – очень важные показатели для риск-менеджера и руководства компании. После появления и выявления первых результатов производится заключение об эффективности применяемых мер.

Указанным образом внедрённая система, управляющая рисками, позволит значительно снизить отрицательное, иногда даже губительное влияние факторов неопределённости, которые постоянно присутствуют в любом бизнесе.

Специфика стандартизации управления рисками

Методы управления рисками на предприятии могут быть разными, но выделяют два основных направления: статическое и динамическое.

Традиционный или статический метод управления рисками предполагает принятие решения по нивелированию обнаруженных опасностей для жизнеспособности или доходности бизнеса, которое неукоснительно соблюдается и не может быть изменено.

В восьмидесяти процентах случаев такой стандартный способ управление инвестиционными и другими рисками характерен для компаний-приспособленцев и применяется он чаще всего как реакция по факту наступления того или иного события.

Статический способ управления рисками в основном применяется на небольших предприятиях (юридических лицах), в компаниях с простыми структурой и деятельностью и небольшим первоначальным капиталом.

Преимущество статической стратегии – отсутствие скачкообразных изменений, наличие стабильности.

Отрицательным влиянием традиционной модели управления производственными или иными рисками является возможность наступления стагнации, то есть застоя, что нежелательно для большинства организаций любой сферы деятельности.

Риск-менеджмент или управление рисками инвестиционного либо производственного проекта при выборе второй из указанных стратегий (динамической) призван отвечать на такие вопросы:

  1. Насколько профессионально у нас на предприятии используются наличные ресурсы для защиты от потенциально возможных угроз?
  2. Помогает ли выбранная стратегия усилению позиций организации на рынке?
  3. Можно ли в данный момент рисковать ради получения большей прибыли в ближайшем будущем?

Получается, динамическое управление организационными операционными рисками предполагает допущения гораздо большей вероятности наступления неблагоприятных событий, нежели статическая модель, а угрозы нельзя недооценивать.

Исходя из этого, рациональным становится грамотное сочетание этих двух разнящихся подходов.

Виды методов управления рисками

Методы управления предпринимательскими или другими рисками уже сформулированы и изучены.

  • отказ;
  • снижение (уменьшение);
  • разделение (дифференциация);
  • уклонение;
  • принятие;
  • передача (перенос) риска или совместное использование;
  • усиление;
  • удержание;
  • снижение убытков.

Метод управления рисками путём отказа от них заключается в полном отказе от слишком рискованного направления деятельности, проекта. Такое решение принимается риск-менеджерами и руководителями предприятия, когда рисковая переменная очень сильно угрожает дальнейшему существованию компании.

Снижение влияния угрозы или её уменьшение – это принятие нужных решений, которые минимизируют возможность возникновения нежелательной рисковой ситуации.

Например, можно создать запасы, ввести ограничения либо принять другие меры, которые снизят вероятность воплощения в реальность того события, которое считается возможным риском для рассматриваемого предприятия, проекта.

Разделение угроз или их дифференциация предполагает отсечение, «обнуление» возможности возникновения одной из нескольких возможных угроз.

Это может быть дублирование важных документов или отрезков на производственной линии, элементов процесса. В таком случае потеря документов или выход из строя одного участка (одной линии) производства не скажется на предприятии убыточно.

Так, дифференциация угроз страховой компании состоит в том, чтобы грамотно и равномерно наполнять страховой портфель: заключать побольше договоров с маленькими рисками и поменьше – с большими рисковыми вероятностями.

Уклонение от угрозы заключается в изменении плана работы предприятия так, чтобы целевая угроза вообще не могла состояться.

Такую стратегию не часто применяют, ведь её не просто воплотить в жизнь.

Например, если здание уже построено в не очень правильном месте и есть риск затопления, уже поздно менять местоположение дома, так как это нужно было учесть ещё на этапе создания плана будущего строения.

Стратегия принятия осуществляется бесстрашным руководителем, который не уклоняется никаким образом от угрозы, а принимает факт возможности его возникновения. При работе такого метода создаётся так называемый «План Б» на случай, если рассматриваемый риск всё же наступит.

Эту стратегию также идентифицируют как использование угрозы, если вероятность его наступления включается в общий план развития и функционирования организации.

Передача, перенос или совместное использование угрозы заключается в страховании от некоторых рисковых событий. Если компания больше всего боится пожара, так как у не много складов с легко воспламеняемой продукцией, стоит застраховаться от пожара.

Ещё один пример: организация с большим автопарком скорее всего застрахует его, тем более, что это дешевле, чем единичное страхование. Также можно перенести риск на контрагента путём заключения соответствующего договора.

Методы управления финансовым риском также включают такой действенный способ как усиление угрозы. Этот метод предполагает увеличение вероятности возникновения благоприятного исхода.

Для этого выявляют источники позитивных, а не негативных угроз. Система удержания как управление финансовым риском предполагает взятие части или всего объёма риска на себя.

Эта стратегия похожа на перенос или передачу риска, только такой перенос производится не на третьих лиц, а на мощности самой компании. Примером удержания угрозы служит создание дополнительных ресурсных резервов на случай их истощения, порчи.

Управление рисками в организации или в проекте может идти по стратегии снижения убытков. Обычно при неудаче других антирисковых методов наступает время применить этот.

Он состоит в минимизации убытков, которые уже точно возникнут или возникли. Однако меры по снижению денежных потерь могут быть и превентивными, то есть те, что были приняты заранее.

Применение методов

Использование того или иного метода («чистого», альтернативного или сборного) должно учитывать специфику предприятия и сферу её деятельности. Исходные показатели и их правильность тоже влияют на выбираемый метод. Управление угрозами постоянно согласовывается с динамически меняющимися показателями, которые отслеживает риск-менеджер для продолжения работы.

Когда степень угрозы уменьшается, тогда следует обратить внимание на другие угрозы, которые определены как второстепенные. На практике также менеджеры, работающие над рисками организации, учитывают срочность реагирования на ту или иную угрозу или возможности её возникновения. При наличии большего времени можно провести более детальный, вдумчивый анализ всем коллективом, чтобы выработать максимально подходящую стратегию проведения антирисковых мероприятий.

Алгоритм построения СУР в компании

Чтобы выстроить работающую СУР в компании, необходимо придерживаться следующего алгоритма действий: идентификация, анализ, планирование, мониторинг (контроль).

Управление рисками любой организации невозможно без прохождения первого этапа вышеуказанного алгоритма построения СУР.

Речь идёт об идентификации или выявлении, нахождении угроз. В первую очередь стоит отметить, что количество угроз вокруг предприятия или отдельного проекта неисчислимо.

Это значит, что нет смысла пытаться найти все из них, ограничиваются выявлением нескольких десятков.

Важно помнить, что первый этап – ответственный, ведь чем больше информации будет собрано в течение этого шага, тем лучше от возникновения рисков можно будет защититься, приняв контрмеры: даже от непредсказуемого риска есть возможность устраниться.

В случае, когда серьёзная угроза остаётся без внимания, то есть не выявляется на первом этапе, её наступление ставит под удар всю организацию или рисковый проект.

Этап анализа позволяет определить, насколько выявленные угрозы опасны и возможны.

При осуществлении рисковой анализаторской деятельности необходимо составить как можно более подробное описание возможных угроз, чтобы получить чёткое представление о потенциальной опасности. Основной целью этого этапа является определение наиболее страшных для компании рисков.

Это необходимо, чтобы направить основные силы (ресурсы) на устранение или уменьшение влияния самых сложных угроз. Для удобства стоит оценить вероятность возникновения и величину возможных последствий для каждой угрозы.

Читайте также:  Для чего предназначена стандартизация

Таким образом постепенно ответственные сотрудники должны определить важность каждого из выявленных рисков организации.

На третьем этапе, который называется планированием, нужно составить план управления рисками. Он составляется для всех угроз, которые по итогу первых двух этапов были признаны критическими или самыми вероятными либо убыточными.

Именно при планировании выбирают дальнейшую стратегию для управления каждым из рисков.

Этап четвёртый (мониторинг и контроль) нужен для идентификации результативности управления рисками. Необходимо постоянно мониторить, как именно предпринятые меры влияют на вероятность возникновения угроз.

Принципы реализации СУР

Каждая эффективная, действенная СУР должна осуществляться на основе следующих принципов:

  • комплексности;
  • интеграции;
  • непрерывности.

Принцип комплексности предполагает обязательное участие в работе с рисками всех подразделений предприятия, то есть нельзя учесть финансовый риск и при этом забыть о производственном.

Специалист, отвечающий за свой кластер деятельности организации должен сообщить о вероятности наступления угроз, исходя из своего опыта и специализации в рассматриваемом проекте или организации.

Принцип интеграции, в отличие от предыдущего, говорит о необходимости рассмотрения рисков и работы с ними в связке.

Это значит, что формируется понятие интегральной угрозы, которая учитывает сразу все возможные факторы.

Такой глобальный, всеобъемлющий риск будет включать в процентном или долевом соотношении влияние всех возможных угроз на деятельность предприятия в целом.

Принцип непрерывности отвечает за постоянное и непрерывное слежение за состоянием риска в условиях постоянно меняющихся условий работы, в том числе экономических и других внешних, а также внутренних условий, в которых разворачивает свою деятельность компания или осуществляется проект.

Вместе с этим выявляют, определяют новые угрозы, если они появляются, и проводят с ними такую же работу.

Оценка компании на предмет управления рисками

Планирование управления выбранными рисками на предприятии, а также последующая деятельность по работе с угрозами должны сопровождаться оценкой правильности предпринимаемых действий.

Для этого следует проверить соблюдение таких условий:

  • проблемы решаются только в рамках имеющегося уставного капитала юридического лица или бюджета, заложенного в проект;
  • при создании плана для работы с рисками следует учитывать в том числе показатели, относящиеся к конкретной сфере деятельности, в которой работает организация;
  • проверяют, проведён ли тщательный, детальный анализ ситуации;
  • управление рисками учитывает устоявшуюся корпоративную стратегию организации;
  • при планировании управления рисками берут во внимание только экономически обоснованные варианты: они должны основываться исключительно на достоверной, проверенной информации, которая не оказывает негативное действие на итоговые результативные показатели, отвечающие за хозяйственную деятельность организации;
  • если многое «ставится на кон» в борьбе с возможными угрозами, но при этом выигрыш в будущем сомнителен, не стоит осуществлять такие затратные меры.

Чтобы риск-план был грамотно составлен и работал, нужно ещё на этапе поиска проблем чётко осознавать стоящие перед менеджером и руководителем цели. Только на основе этой информации, обработанной правильным образом, нужно делать первичные выводы о наличии и важности тех или иных рисков.

Таким образом постепенно формируется поступательная, непрерывная система, в которой предыдущие данные используются для перехода к следующему этапу только после анализа и оценки.

Современное состояние управления рисками в России

Планирование и контроль управления рисками в России как сфера по управлению рисками развивается медленно. В частности, встаёт острая необходимость в создании системы сертификации услуг риск-менеджеров. Так практика, которая сложилась на различных российских предприятиях, в основном направлена на уменьшение глобальных, опасных рисков.

К ним относятся угрозы неполучения прибыли (получения убытков), а также недостижение поставленных целей. Часть угроз страхуется, если это возможно.

При этом компании стараются ориентироваться на опыт зарубежных коллег и мировые стандарты, чем улучшают состояние риск-менеджмента на предприятии. Планирование управления рисками теперь встречается на всё большем количестве предприятий, расположенных на территории России.

Оно определяет наличие, сущность, степень важности и меру опасности угроз предприятия.

Источник

Управление ИТ-рисками.

3 октября 2017

Общие подходы к управлению рисками

Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была выпускающим редактором журнала Intelligent Enterprise.

Риск, событие, характеристки риска

Прежде чем говорить об ИТ-рисках, разберёмся с основными терминами и понятиями, связанными с рисками любого рода. В России основой для целой серии стандартов по рискам служит ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения». Он даёт следующую трактовку риска:

Риск — следствие влияния неопределённости на достижение поставленных целей.

ГОСТ Р 51897-2011

Под неопределённостью подразумевается состояние полного или частичного отсутствия понимания или знания о некотором событии, его последствиях и вероятности. Влияние неопределённости — это отклонение от ожидаемого результата деятельности (целей) с позитивными или негативными последствиями. Таким образом, понятие риска связано с понятием «событие», поэтому риск часто характеризуют через описание возможного события и предположительного влияния его последствий.

Событие — возникновение или изменение специфического набора условий 1 .

ГОСТ Р 51897-2011

Тогда риску можно дать такое определение:

Риск — это следствие вероятности возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей.

Здесь важно подчеркнуть несколько обстоятельств:

  • риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
  • событие должно быть случайным: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
  • событие может привести к отклонению от ожидаемых результатов деятельности с негативными последствиями (ведь возможны и позитивные).

Исходя из этого, риск характеризуется двумя величинами:

  • вероятность, которая характеризует наступление рискового события;
  • цена потери и величина возможных негативных последствий.

Вероятность возникновения риска — характеристика возможного наступления рискового события.

Каждому риску отводится вероятность больше 0%, но меньше 100%. Риск с вероятностью 0% не считается риском, так как не может произойти. Равно как и риск с вероятностью 100% — тоже не риск, а реальное событие, которое в обязательном порядке предусматривается проектом.

Последствия риска — степень влияния риска на достижение поставленных целей организации: трудозатраты, деньги, отклонения от принятого плана и т. д.

Иногда эти две величины объединяют в один показатель — уровень (или величина) риска.

Уровень риска — это мера риска, комбинация характеристик его вероятности и последствий.

Подход к управлению рисками

Оцениваемые характеристки риска позволяют говорить об управлении рисками.

Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.

Управление рисками позволяет организации определить, в какой степени потенциальные события повлияют на достижение её целей. Согласно рекомендациям авторитетной организации COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:

  • представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
  • нацелено на определение событий, которые представляют опасность для организации.

У компании есть четыре варианта реакции на риск:

  • принятие риска, когда не предпринимается никаких особых действий, связанных с данным риском;
  • уменьшение риска посредством контроля за деятельностью и процессами либо принятия специальных мер;
  • передача риска сторонней организации путём привлечения партнёров или страховых компаний;
  • уклонение от риска — прекращение деятельности, ведущей к риску.

Остановлюсь особо на варианте уменьшения риска. Самая очевидная реакция на риск — организовать контроль за деятельностью и процессами. Однако этого не всегда достаточно: нередко риск требует принятия специальных мер. Различают несколько видов рисков:

  • присущий риск — это уровень риска, если не предпринимается никаких действий для изменения вероятности риска или его влияния;
  • остаточный риск — это уровень риска, остающийся после принятия минимальных мер по реагированию на риск (как правило, сюда входит контроль за деятельностью и процессами предприятия);
  • приемлемый остаточный риск — это уровень риска, равный или ниже допустимого в данной организации и в данных условиях.

Логика снижения уровня риска показана на рис. 1. Как правило, первоочередные меры реагирования на риск — контроль за ходом деятельности и процессами организации. Это снижает присущий уровень риска, но если остаточный риск все же выше, чем приемлемый для организации, то необходимо предусмотреть специальные меры реагирования на риск. В идеале эти меры должны быть достаточными, чтобы уменьшить остаточный риск до приемлемого уровня. Уровень риска, который организация готова принять, называется толерантностью к риску. Это индивидуальная характеристика: одни организации готовы рисковать чуть больше в надежде получить большую премию за риск, в то время как другие всячески обходят риски стороной.

Общая логика снижения уровня риска до приемлемого уровня.

Рис. 1. Общая логика снижения уровня риска до приемлемого уровня.

Стандарты управления рисками

В сентябре 2015 года Международная организация по стандартизации (International Organization for Standardization, ISO) опубликовала новую редакцию стандарта ISO 9001:2015. Одно из ключевых отличий от предыдущей версии — появление требований по управлению рисками. Требования по управлению рисками дополнили несколько пунктов стандарта и заменили прежнее требование необходимости предупреждающих действий.

Существуют стандарты, непосредственно посвящённые управлению рисками. Наиболее важные международные стандарты в области управления рисками приведены в таблице 1. Прежде всего, это семейство стандартов 31000, которое включает:

  • ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство» (идентичный международному стандарту ISO 31000:2009 Risk Management. Principles and Guidelines) описывает принципы, инфраструктуру (систему управления рисками) и процесс менеджмента риска;
  • ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» (идентичный международному стандарту ISO/IEC 31010:2009 Risk Management — Risk Assessment) описывает вопросы и процесс оценки риска, а также выбор методов оценки риска.

Стандарты семейства 31000 очень гибкие и универсальные, на их основе можно построить любую корпоративную систему управления рисками. Кроме того, существует еще короткий ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения».

Читайте также:  Статья 20 Нормативные документы по стандартизации Республики Казахстан

Таблица 1. Международные стандарты в области управления рисками предприятия.

  • ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство»
  • ГОСТ Р ИСО/МЭК 31010:2011 «Менеджмент риска. Методы оценки риска»
  • COSO Enterprise Risk Management—Integrating with Strategy and Performance (2017)
  • FERMA 2002
  • OCEG Red Book 2.0:2009
  • COSO Enterprise Risk Management—Integrating with Strategy and Performance (2017)

В следующей части статьи мы поговорим о системе управления рисками и соотвествующем процессе.

Источник



Управление рисками организации

Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.

Управление рисками организации: основные направления

Процессы управления рисками охватывают 4 основные области:

  1. Управление рисками угроз
  2. Внутренний контроль
  3. Внутренний аудит
  4. Соответствие регуляторным требованиям

Управление рисками угроз

Для оценки угроз, риск менеджеры следуют следующим пяти шагам:

  1. Определение вероятности риска
  2. Оценка частоты и серьезности последствий
  3. Определение альтернативных подходов, включая оптимизацию бизнес-процессов, которые приведут к снижению вероятности и/или последствий риска
  4. Выбор и реализация действий, определенных на предыдущем этапе
  5. Контроль реализации действий и их корректировка, по мере необходимости

Этот процесс ориентирован на превентивное и на антикризисное управление рисками.

В управлении рисками следует различать понятия риска, угрозы и воздействия:

  1. Риск — негативное или позитивное явление, которое может произойти и оказать влияние на процесс / проект
  2. Угроза — возможная опасность, которую несет в себе риск
  3. Воздействие — величина последствий, которые происходят, в случае наступления риска
  4. Величина риска = вероятность возникновения риска * воздействие

Внутренний контроль

Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.

Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.

Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.

Внутренний аудит

Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.

Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.

Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.

Соответствие регуляторным требованиям

Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.

Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.

Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.

Примеры подходов к управлению рисками организации

В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.

ISO 31000

ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.

Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.

ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.

Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.

Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.

В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.

О ERM они сказали следующее:

…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management

Примеры типов рисков

  • Угрозы: стихийные бедствия, материальный ущерб и прочее.
  • Финансовые риски: например, риски активов, ценных бумаг или фиатных валют
  • Стратегические риски: конкуренция, тенденции бизнеса и так далее.
  • Операционные риски:удовлетворенность клиентов, целостность бренда, репутация, неисправности и отказы продукта

Процессы управления рисками

  • Создание контекста: внутренний и внешний охват организации, а также охват системы ERM
  • Определение рисков: поскольку они связаны с целями организации, они должны быть хорошо документированы и включать соответствующий потенциал для получения конкурентных преимуществ, в результате совершенствования процесса
  • Анализ серьезности рисков: для каждого из выявленных рисков оцените (и, если возможно, оцените количественно) серьезность каждого риска
  • Интеграция рисков: на основе результатов предыдущего анализа рисков агрегируйте все распределения рисков и приведите анализ в соответствие с влиянием на ключевые показатели эффективности
  • Определение приоритетов рисков: определите ранжированный порядок приоритетов для каждого из выявленных рисков
  • Стратегии управления рисками: включает в себя стратегии разрешения и использования выявленных рисков
  • Мониторинг и анализ результатов: постоянное совершенствование процесса управления рисками путем мониторинга и оценки среды рисков. Это оценка того, что работает, а что нет.

COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:

Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance

COSO акцентирует внимание на пяти компонентах системы управления рисками организации:

  1. Руководство и культура
  2. Стратегия и постановка целей
  3. Производительность
  4. Анализ и пересмотр
  5. Информация, коммуникации и отчетность

Руководство и культура

Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.

Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.

Стратегия и постановка целей

Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.

Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.

Производительность

Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.

В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.

После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.

Анализ и пересмотр

Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.

Информация, коммуникация и отчетность

ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.

Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.

Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):

Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.

Процесс управления рисками организации

Процесс управления рисками организации состоит из пяти элементов:

Определение целей и обеспечение согласованности ERM со стратегией бизнеса

В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.

Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.

Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.

Идентификация и документирование рисков

Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.

Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.

Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.

Оценка документированных рисков

Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.

После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.

Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.

Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.

Читайте также:  Характеристика правовых основ стандартизации

Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.

Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.

Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.

Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:

Ответ на риск

Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.

Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.

Ответ на риск подразделяется на четыре собственные категории:

Уклонение

Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.

Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.

Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.

Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.

Снижение

Часто риски могут быть снижены различными способами.

Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.

Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.

Разделение

Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.

На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.

Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.

По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.

Принятие

Принять риск это значит не предпринимать никаких действий.

Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.

Мониторинг рисков

Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.

Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.

Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.

Источник

Управление ИТ-рисками.

3 октября 2017

Общие подходы к управлению рисками

Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была выпускающим редактором журнала Intelligent Enterprise.

Риск, событие, характеристки риска

Прежде чем говорить об ИТ-рисках, разберёмся с основными терминами и понятиями, связанными с рисками любого рода. В России основой для целой серии стандартов по рискам служит ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения». Он даёт следующую трактовку риска:

Риск — следствие влияния неопределённости на достижение поставленных целей.

ГОСТ Р 51897-2011

Под неопределённостью подразумевается состояние полного или частичного отсутствия понимания или знания о некотором событии, его последствиях и вероятности. Влияние неопределённости — это отклонение от ожидаемого результата деятельности (целей) с позитивными или негативными последствиями. Таким образом, понятие риска связано с понятием «событие», поэтому риск часто характеризуют через описание возможного события и предположительного влияния его последствий.

Событие — возникновение или изменение специфического набора условий 1 .

ГОСТ Р 51897-2011

Тогда риску можно дать такое определение:

Риск — это следствие вероятности возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей.

Здесь важно подчеркнуть несколько обстоятельств:

  • риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
  • событие должно быть случайным: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
  • событие может привести к отклонению от ожидаемых результатов деятельности с негативными последствиями (ведь возможны и позитивные).

Исходя из этого, риск характеризуется двумя величинами:

  • вероятность, которая характеризует наступление рискового события;
  • цена потери и величина возможных негативных последствий.

Вероятность возникновения риска — характеристика возможного наступления рискового события.

Каждому риску отводится вероятность больше 0%, но меньше 100%. Риск с вероятностью 0% не считается риском, так как не может произойти. Равно как и риск с вероятностью 100% — тоже не риск, а реальное событие, которое в обязательном порядке предусматривается проектом.

Последствия риска — степень влияния риска на достижение поставленных целей организации: трудозатраты, деньги, отклонения от принятого плана и т. д.

Иногда эти две величины объединяют в один показатель — уровень (или величина) риска.

Уровень риска — это мера риска, комбинация характеристик его вероятности и последствий.

Подход к управлению рисками

Оцениваемые характеристки риска позволяют говорить об управлении рисками.

Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.

Управление рисками позволяет организации определить, в какой степени потенциальные события повлияют на достижение её целей. Согласно рекомендациям авторитетной организации COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:

  • представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
  • нацелено на определение событий, которые представляют опасность для организации.

У компании есть четыре варианта реакции на риск:

  • принятие риска, когда не предпринимается никаких особых действий, связанных с данным риском;
  • уменьшение риска посредством контроля за деятельностью и процессами либо принятия специальных мер;
  • передача риска сторонней организации путём привлечения партнёров или страховых компаний;
  • уклонение от риска — прекращение деятельности, ведущей к риску.

Остановлюсь особо на варианте уменьшения риска. Самая очевидная реакция на риск — организовать контроль за деятельностью и процессами. Однако этого не всегда достаточно: нередко риск требует принятия специальных мер. Различают несколько видов рисков:

  • присущий риск — это уровень риска, если не предпринимается никаких действий для изменения вероятности риска или его влияния;
  • остаточный риск — это уровень риска, остающийся после принятия минимальных мер по реагированию на риск (как правило, сюда входит контроль за деятельностью и процессами предприятия);
  • приемлемый остаточный риск — это уровень риска, равный или ниже допустимого в данной организации и в данных условиях.

Логика снижения уровня риска показана на рис. 1. Как правило, первоочередные меры реагирования на риск — контроль за ходом деятельности и процессами организации. Это снижает присущий уровень риска, но если остаточный риск все же выше, чем приемлемый для организации, то необходимо предусмотреть специальные меры реагирования на риск. В идеале эти меры должны быть достаточными, чтобы уменьшить остаточный риск до приемлемого уровня. Уровень риска, который организация готова принять, называется толерантностью к риску. Это индивидуальная характеристика: одни организации готовы рисковать чуть больше в надежде получить большую премию за риск, в то время как другие всячески обходят риски стороной.

Общая логика снижения уровня риска до приемлемого уровня.

Рис. 1. Общая логика снижения уровня риска до приемлемого уровня.

Стандарты управления рисками

В сентябре 2015 года Международная организация по стандартизации (International Organization for Standardization, ISO) опубликовала новую редакцию стандарта ISO 9001:2015. Одно из ключевых отличий от предыдущей версии — появление требований по управлению рисками. Требования по управлению рисками дополнили несколько пунктов стандарта и заменили прежнее требование необходимости предупреждающих действий.

Существуют стандарты, непосредственно посвящённые управлению рисками. Наиболее важные международные стандарты в области управления рисками приведены в таблице 1. Прежде всего, это семейство стандартов 31000, которое включает:

  • ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство» (идентичный международному стандарту ISO 31000:2009 Risk Management. Principles and Guidelines) описывает принципы, инфраструктуру (систему управления рисками) и процесс менеджмента риска;
  • ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» (идентичный международному стандарту ISO/IEC 31010:2009 Risk Management — Risk Assessment) описывает вопросы и процесс оценки риска, а также выбор методов оценки риска.

Стандарты семейства 31000 очень гибкие и универсальные, на их основе можно построить любую корпоративную систему управления рисками. Кроме того, существует еще короткий ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения».

Таблица 1. Международные стандарты в области управления рисками предприятия.

  • ГОСТ Р ИСО 31000:2010 «Менеджмент риска. Принципы и руководство»
  • ГОСТ Р ИСО/МЭК 31010:2011 «Менеджмент риска. Методы оценки риска»
  • COSO Enterprise Risk Management—Integrating with Strategy and Performance (2017)
  • FERMA 2002
  • OCEG Red Book 2.0:2009
  • COSO Enterprise Risk Management—Integrating with Strategy and Performance (2017)

В следующей части статьи мы поговорим о системе управления рисками и соотвествующем процессе.

Источник

Оценка компании на предмет управления рисками

Риски и возможности процесса «Управление документированной информацией системы менеджмента качества университета»

В статье рассмотрены результаты анализа и оценки рисков процесса управления документированной информацией в Государственном университете по землеустройству. Целью работы являлось управление рисками и возможностями этого процесса для усиления воздействия благоприятных событий, ослабление нежелательных рисков и снижения вероятности их возникновения. Это способствует улучшению деятельности университета и повышению удовлетворенности заинтересованных сторон. Статья предназначена для руководителей процессов системы менеджмента качества (СМК) высшей школы, а также для специалистов, участвующих в управлении рисками и возможностями процессов СМК.

Risks and opportunities of the process "Data management of the university quality management system"

The article discusses the results of the analysis and risk assessment of data management in the State University of Land Use Planning. The aim of the work was to manage the risks and opportunities of this process to enhance the impact of favorable events, mitigate unwanted risks and reduce the likelihood of their occurrence. This contributes to the improvement of university performance and increased satisfaction of interested parties. The article is intended for process managers of the quality management system (QMS) of higher education, as well as for specialists involved in managing the risks and capabilities of the QMS processes.

В соответствии с ГОСТ Р ИСО 9000 [1] документированная информация системы менеджмента качества (СМК) дает возможность доводить до исполнителей замысел и последовательность необходимых действий. Документы СМК реализованы в виде планов, стандартов, программ, положений, методических инструкций, рабочих инструкций, а также соответствующих подтверждающих записей. В СМК университета используются бумажные и электронные носители информации.

Изучение литературы по управлению рисками показало, что в части обеспечения качества образования, и особенно по рискам управления документацией, таких работ недостаточно.

Менеджмент риска является неотъемлемой частью общего менеджмента высшей школы, ее культуры и практики. Этот процесс применяется в случаях, когда возникает необходимость в анализе рисков при выявлении несоответствий при внутреннем или внешнем аудите/ проверке, при анализе СМК со стороны руководства.

Действия по анализу рисков и возможностей процессов СМК в соответствии с [1–4] и установившейся практикой в СМК университета включают:

— учет рисков и возможностей, связанных с контекстом университета (организационной средой) и целями;

— реализацию процессного подхода, который включает цикл PDCA (планируй — выполняй — проверяй — действуй);

— риск-ориентированное мышление для идентификации негативных факторов, которые могут привести к отклонению от запланированных результатов процессов и СМК организации;

— определение потенциальных рисков при планировании в СМК;

— учет производных (вторичных) рисков (эффект «домино»);

— использование предупреждающих средств управления во всей СМК для минимизации негативных последствий и максимального использования возникающих возможностей;

— регистрацию всей необходимой информации для подтверждения факта анализа рисков и возможностей процессов СМК университета, а также для использования пополняемых знаний в будущем.

Источник

Управление рисками системы менеджмента качества

ГОСТ Р 58781-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА

Управление рисками при обеспечении качества изделий ракетно-космической техники

Rocket-and-space technology. Quality management system. Risk management for space technology quality control

* По данным официального сайта Росстандарта ОКС 49.020,

здесь и далее. — Примечание изготовителя базы данных.

Дата введения 2020-04-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным унитарным предприятием "Центральный научно-исследовательский институт машиностроения" (ФГУП ЦНИИмаш)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 321 "Ракетно-космическая техника"

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

1 Область применения

Настоящий стандарт устанавливает основные принципы и элементы управления рисками в рамках системы менеджмента качества организаций, осуществляющих исследования, проектирование и разработку, опытную отработку, производство, поставку, монтаж и техническое сопровождение в эксплуатации изделий ракетно-космической техники и предоставляемых услуг (далее — продукция), а также рекомендации по их применению.

Настоящий стандарт предназначен для использования подразделениями организации в рамках управления рисками и обеспечения качества изделий ракетно-космической техники с целью снижения последствий отрицательного воздействия вероятных событий, которые могут явиться причиной изменения качества, затрат, сроков или ухудшения технических характеристик изделий, отвечающих требованиям заказчика (потребителя), а также при разработке и совершенствовании действующей системы менеджмента качества.

Положения, представленные в настоящем стандарте, являются дополнительными по отношению к требованиям к системам менеджмента качества по ГОСТ Р ИСО 9001, ГОСТ Р ЕН 9100 и к порядку организации и выполнения работ по созданию, производству и эксплуатации изделий ракетно-космической техники.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 27.002 Надежность в технике. Термины и определения

ГОСТ 27.310 Надежность в технике. Анализ видов, последствий и критичности отказов. Основные положения

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51901.11 Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство

ГОСТ Р 51901.12 Менеджмент риска. Метод анализа видов и последствий отказов

ГОСТ Р 51901.14 Менеджмент риска. Структурная схема надежности и булевы методы

ГОСТ Р 51901.16 Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки

ГОСТ Р 52806 Менеджмент рисков проектов. Общие положения

ГОСТ Р 56078 Системы менеджмента качества предприятий авиационно-космической промышленности. Руководство по менеджменту риска в цепи поставок

ГОСТ Р 58780 Ракетно-космическая техника. Программа обеспечения качества. Общие положения

ГОСТ Р ИСО 10005* Менеджмент организации. Руководящие указания по планированию качества

* С 01.10.2020 действует ГОСТ Р ИСО 10005-2019 "Менеджмент качества. Руководящие указания по планам качества".

ГОСТ Р ИСО 11231 Менеджмент риска. Вероятностная оценка риска на примере космических систем

ГОСТ Р ИСО 17666 Менеджмент риска. Космические системы

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 31010-2010* Менеджмент риска. Методы оценки риска

________________
* Вероятно, ошибка оригинала. Следует читать: ГОСТ Р ИСО/МЭК 31010-2011. — Примечание изготовителя базы данных.

ГОСТ Р ЕН 9100 Системы менеджмента качества организаций авиационной, космической и оборонной отраслей промышленности. Требования

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте федерального органа исполнительной власти в сфере стандартизации в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

Читайте также:  Стандартизация бд

3 Термины и определения

3.1 В настоящем стандарте применены термины по ГОСТ Р ИСО 9000, ГОСТ 27.002, а также следующие термины с соответствующими определениями:

анализ риска: Процесс изучения природы и характера риска и определения уровня риска.

Источник



Про управление рисками

Управление рисками – неотъемлемая часть деятельности успешной, развивающейся организации.

Такое управление призвано упростить условия работы организации в постоянно меняющихся внешних, непредсказуемых или мало прогнозируемых условиях. При этом выявление новых возможных проблем идёт постоянно, как и контроль за результатами ранее производимых риск-менеджерами действий.

Реальная оценка экономических, производственных и других организационных показателей помогает отделу риск-менеджмента компании вырабатывать изменённые, новые меры или корректировать старые для достижения наименее рискового состояния компании. Могут быть выявлены целые зоны риска или отдельные менее вероятные события.

Всё зависит от специфики работы и величины анализируемой организации.

Сущность управления рисками

Управление рисками представляет собой комплекс мероприятий, которые направлены на выявление возможных негативных для конкретного бизнеса факторов и оценку вероятности их возникновения.

В условиях современной конкуренции, которая наблюдается в любой сфере деловой деятельности производственного предприятия или организации сферы услуг, управление рисками – одно из приоритетных направлений работы компании.

Результатом грамотного управления должна стать минимизация или полное устранение отрицательного влияния, которое может быть оказано воздействием возникших рискованных событий на прибыльность и целостность организации.

Иными словами, управление рисками работает с теми обстоятельствами, которые возникают как препятствие для функционирования/развития компании.

Для плодотворной работы с угрозами организовывается система управления рисками. Также эта работа может быть названа риск-моделированием. Она включает в себя выявление возможных рисков на основе имеющихся данных и разработку специальных мер по устранению или минимизации этих угроз.

Иногда помогают типичные решения, но также приходится разрабатывать и специальные. При этом учитываются такие факторы как бюджет, доступные ресурсы, степень вероятности осуществления того или иного события.

Понятие и содержание систем управления рисками

Система управления рисками – это устоявшийся или постоянно меняющийся и дополняющийся комплекс (план) мер по оценке вероятности возникновения угроз предприятия.

Действенная система управления рисками включает в себя:

  • прогнозы возникновения той или иной угрозы;
  • анализ возможных, гипотетических причин возникновения каждой выявленной угрозы;
  • разработку стратегии (стратегий) по устранению негативных последствий, прекращению или минимизации влияния рисковых факторов;
  • формирование благоприятных условий для внедрения ранее разработанных стратегий;
  • постоянное проведение системного мониторинга ситуаций, связанных с угрозами организации;
  • анализ и промежуточный контроль результатов внедрения противорисковых стратегий.

Согласно вышеуказанному содержанию системы управления рисками (СУР) на первом этапе всегда выполняется выявление любых возможных рисков с учётом специфики деятельности компании. Также определяется степень их влияния на организацию и её работу.

При этом используются методы количественного и качественного анализа. В зависимости от опасности или степени влияния потенциального риска на компанию и её прибыль составляется, согласовывается и вводится в действие план по управлению этими угрозами.

Когда СУР внедряется на предприятии и начинает свою работу, составляется аналитика влияния этой системы на финансовые показатели работы фирмы. Выявленные таким образом закономерности – очень важные показатели для риск-менеджера и руководства компании. После появления и выявления первых результатов производится заключение об эффективности применяемых мер.

Указанным образом внедрённая система, управляющая рисками, позволит значительно снизить отрицательное, иногда даже губительное влияние факторов неопределённости, которые постоянно присутствуют в любом бизнесе.

Специфика стандартизации управления рисками

Методы управления рисками на предприятии могут быть разными, но выделяют два основных направления: статическое и динамическое.

Традиционный или статический метод управления рисками предполагает принятие решения по нивелированию обнаруженных опасностей для жизнеспособности или доходности бизнеса, которое неукоснительно соблюдается и не может быть изменено.

В восьмидесяти процентах случаев такой стандартный способ управление инвестиционными и другими рисками характерен для компаний-приспособленцев и применяется он чаще всего как реакция по факту наступления того или иного события.

Статический способ управления рисками в основном применяется на небольших предприятиях (юридических лицах), в компаниях с простыми структурой и деятельностью и небольшим первоначальным капиталом.

Преимущество статической стратегии – отсутствие скачкообразных изменений, наличие стабильности.

Отрицательным влиянием традиционной модели управления производственными или иными рисками является возможность наступления стагнации, то есть застоя, что нежелательно для большинства организаций любой сферы деятельности.

Риск-менеджмент или управление рисками инвестиционного либо производственного проекта при выборе второй из указанных стратегий (динамической) призван отвечать на такие вопросы:

  1. Насколько профессионально у нас на предприятии используются наличные ресурсы для защиты от потенциально возможных угроз?
  2. Помогает ли выбранная стратегия усилению позиций организации на рынке?
  3. Можно ли в данный момент рисковать ради получения большей прибыли в ближайшем будущем?

Получается, динамическое управление организационными операционными рисками предполагает допущения гораздо большей вероятности наступления неблагоприятных событий, нежели статическая модель, а угрозы нельзя недооценивать.

Исходя из этого, рациональным становится грамотное сочетание этих двух разнящихся подходов.

Виды методов управления рисками

Методы управления предпринимательскими или другими рисками уже сформулированы и изучены.

  • отказ;
  • снижение (уменьшение);
  • разделение (дифференциация);
  • уклонение;
  • принятие;
  • передача (перенос) риска или совместное использование;
  • усиление;
  • удержание;
  • снижение убытков.

Метод управления рисками путём отказа от них заключается в полном отказе от слишком рискованного направления деятельности, проекта. Такое решение принимается риск-менеджерами и руководителями предприятия, когда рисковая переменная очень сильно угрожает дальнейшему существованию компании.

Снижение влияния угрозы или её уменьшение – это принятие нужных решений, которые минимизируют возможность возникновения нежелательной рисковой ситуации.

Например, можно создать запасы, ввести ограничения либо принять другие меры, которые снизят вероятность воплощения в реальность того события, которое считается возможным риском для рассматриваемого предприятия, проекта.

Разделение угроз или их дифференциация предполагает отсечение, «обнуление» возможности возникновения одной из нескольких возможных угроз.

Читайте также:  Для чего предназначена стандартизация

Это может быть дублирование важных документов или отрезков на производственной линии, элементов процесса. В таком случае потеря документов или выход из строя одного участка (одной линии) производства не скажется на предприятии убыточно.

Так, дифференциация угроз страховой компании состоит в том, чтобы грамотно и равномерно наполнять страховой портфель: заключать побольше договоров с маленькими рисками и поменьше – с большими рисковыми вероятностями.

Уклонение от угрозы заключается в изменении плана работы предприятия так, чтобы целевая угроза вообще не могла состояться.

Такую стратегию не часто применяют, ведь её не просто воплотить в жизнь.

Например, если здание уже построено в не очень правильном месте и есть риск затопления, уже поздно менять местоположение дома, так как это нужно было учесть ещё на этапе создания плана будущего строения.

Стратегия принятия осуществляется бесстрашным руководителем, который не уклоняется никаким образом от угрозы, а принимает факт возможности его возникновения. При работе такого метода создаётся так называемый «План Б» на случай, если рассматриваемый риск всё же наступит.

Эту стратегию также идентифицируют как использование угрозы, если вероятность его наступления включается в общий план развития и функционирования организации.

Передача, перенос или совместное использование угрозы заключается в страховании от некоторых рисковых событий. Если компания больше всего боится пожара, так как у не много складов с легко воспламеняемой продукцией, стоит застраховаться от пожара.

Ещё один пример: организация с большим автопарком скорее всего застрахует его, тем более, что это дешевле, чем единичное страхование. Также можно перенести риск на контрагента путём заключения соответствующего договора.

Методы управления финансовым риском также включают такой действенный способ как усиление угрозы. Этот метод предполагает увеличение вероятности возникновения благоприятного исхода.

Для этого выявляют источники позитивных, а не негативных угроз. Система удержания как управление финансовым риском предполагает взятие части или всего объёма риска на себя.

Эта стратегия похожа на перенос или передачу риска, только такой перенос производится не на третьих лиц, а на мощности самой компании. Примером удержания угрозы служит создание дополнительных ресурсных резервов на случай их истощения, порчи.

Управление рисками в организации или в проекте может идти по стратегии снижения убытков. Обычно при неудаче других антирисковых методов наступает время применить этот.

Он состоит в минимизации убытков, которые уже точно возникнут или возникли. Однако меры по снижению денежных потерь могут быть и превентивными, то есть те, что были приняты заранее.

Применение методов

Использование того или иного метода («чистого», альтернативного или сборного) должно учитывать специфику предприятия и сферу её деятельности. Исходные показатели и их правильность тоже влияют на выбираемый метод. Управление угрозами постоянно согласовывается с динамически меняющимися показателями, которые отслеживает риск-менеджер для продолжения работы.

Когда степень угрозы уменьшается, тогда следует обратить внимание на другие угрозы, которые определены как второстепенные. На практике также менеджеры, работающие над рисками организации, учитывают срочность реагирования на ту или иную угрозу или возможности её возникновения. При наличии большего времени можно провести более детальный, вдумчивый анализ всем коллективом, чтобы выработать максимально подходящую стратегию проведения антирисковых мероприятий.

Алгоритм построения СУР в компании

Чтобы выстроить работающую СУР в компании, необходимо придерживаться следующего алгоритма действий: идентификация, анализ, планирование, мониторинг (контроль).

Управление рисками любой организации невозможно без прохождения первого этапа вышеуказанного алгоритма построения СУР.

Речь идёт об идентификации или выявлении, нахождении угроз. В первую очередь стоит отметить, что количество угроз вокруг предприятия или отдельного проекта неисчислимо.

Это значит, что нет смысла пытаться найти все из них, ограничиваются выявлением нескольких десятков.

Важно помнить, что первый этап – ответственный, ведь чем больше информации будет собрано в течение этого шага, тем лучше от возникновения рисков можно будет защититься, приняв контрмеры: даже от непредсказуемого риска есть возможность устраниться.

В случае, когда серьёзная угроза остаётся без внимания, то есть не выявляется на первом этапе, её наступление ставит под удар всю организацию или рисковый проект.

Этап анализа позволяет определить, насколько выявленные угрозы опасны и возможны.

При осуществлении рисковой анализаторской деятельности необходимо составить как можно более подробное описание возможных угроз, чтобы получить чёткое представление о потенциальной опасности. Основной целью этого этапа является определение наиболее страшных для компании рисков.

Это необходимо, чтобы направить основные силы (ресурсы) на устранение или уменьшение влияния самых сложных угроз. Для удобства стоит оценить вероятность возникновения и величину возможных последствий для каждой угрозы.

Таким образом постепенно ответственные сотрудники должны определить важность каждого из выявленных рисков организации.

На третьем этапе, который называется планированием, нужно составить план управления рисками. Он составляется для всех угроз, которые по итогу первых двух этапов были признаны критическими или самыми вероятными либо убыточными.

Именно при планировании выбирают дальнейшую стратегию для управления каждым из рисков.

Этап четвёртый (мониторинг и контроль) нужен для идентификации результативности управления рисками. Необходимо постоянно мониторить, как именно предпринятые меры влияют на вероятность возникновения угроз.

Принципы реализации СУР

Каждая эффективная, действенная СУР должна осуществляться на основе следующих принципов:

  • комплексности;
  • интеграции;
  • непрерывности.

Принцип комплексности предполагает обязательное участие в работе с рисками всех подразделений предприятия, то есть нельзя учесть финансовый риск и при этом забыть о производственном.

Специалист, отвечающий за свой кластер деятельности организации должен сообщить о вероятности наступления угроз, исходя из своего опыта и специализации в рассматриваемом проекте или организации.

Принцип интеграции, в отличие от предыдущего, говорит о необходимости рассмотрения рисков и работы с ними в связке.

Это значит, что формируется понятие интегральной угрозы, которая учитывает сразу все возможные факторы.

Такой глобальный, всеобъемлющий риск будет включать в процентном или долевом соотношении влияние всех возможных угроз на деятельность предприятия в целом.

Принцип непрерывности отвечает за постоянное и непрерывное слежение за состоянием риска в условиях постоянно меняющихся условий работы, в том числе экономических и других внешних, а также внутренних условий, в которых разворачивает свою деятельность компания или осуществляется проект.

Вместе с этим выявляют, определяют новые угрозы, если они появляются, и проводят с ними такую же работу.

Оценка компании на предмет управления рисками

Планирование управления выбранными рисками на предприятии, а также последующая деятельность по работе с угрозами должны сопровождаться оценкой правильности предпринимаемых действий.

Для этого следует проверить соблюдение таких условий:

  • проблемы решаются только в рамках имеющегося уставного капитала юридического лица или бюджета, заложенного в проект;
  • при создании плана для работы с рисками следует учитывать в том числе показатели, относящиеся к конкретной сфере деятельности, в которой работает организация;
  • проверяют, проведён ли тщательный, детальный анализ ситуации;
  • управление рисками учитывает устоявшуюся корпоративную стратегию организации;
  • при планировании управления рисками берут во внимание только экономически обоснованные варианты: они должны основываться исключительно на достоверной, проверенной информации, которая не оказывает негативное действие на итоговые результативные показатели, отвечающие за хозяйственную деятельность организации;
  • если многое «ставится на кон» в борьбе с возможными угрозами, но при этом выигрыш в будущем сомнителен, не стоит осуществлять такие затратные меры.
Читайте также:  Статья 20 Нормативные документы по стандартизации Республики Казахстан

Чтобы риск-план был грамотно составлен и работал, нужно ещё на этапе поиска проблем чётко осознавать стоящие перед менеджером и руководителем цели. Только на основе этой информации, обработанной правильным образом, нужно делать первичные выводы о наличии и важности тех или иных рисков.

Таким образом постепенно формируется поступательная, непрерывная система, в которой предыдущие данные используются для перехода к следующему этапу только после анализа и оценки.

Современное состояние управления рисками в России

Планирование и контроль управления рисками в России как сфера по управлению рисками развивается медленно. В частности, встаёт острая необходимость в создании системы сертификации услуг риск-менеджеров. Так практика, которая сложилась на различных российских предприятиях, в основном направлена на уменьшение глобальных, опасных рисков.

К ним относятся угрозы неполучения прибыли (получения убытков), а также недостижение поставленных целей. Часть угроз страхуется, если это возможно.

При этом компании стараются ориентироваться на опыт зарубежных коллег и мировые стандарты, чем улучшают состояние риск-менеджмента на предприятии. Планирование управления рисками теперь встречается на всё большем количестве предприятий, расположенных на территории России.

Оно определяет наличие, сущность, степень важности и меру опасности угроз предприятия.

Источник

Управление рисками системы менеджмента качества

ГОСТ Р 58781-2019

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА

Управление рисками при обеспечении качества изделий ракетно-космической техники

Rocket-and-space technology. Quality management system. Risk management for space technology quality control

* По данным официального сайта Росстандарта ОКС 49.020,

здесь и далее. — Примечание изготовителя базы данных.

Дата введения 2020-04-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным унитарным предприятием "Центральный научно-исследовательский институт машиностроения" (ФГУП ЦНИИмаш)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 321 "Ракетно-космическая техника"

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

1 Область применения

Настоящий стандарт устанавливает основные принципы и элементы управления рисками в рамках системы менеджмента качества организаций, осуществляющих исследования, проектирование и разработку, опытную отработку, производство, поставку, монтаж и техническое сопровождение в эксплуатации изделий ракетно-космической техники и предоставляемых услуг (далее — продукция), а также рекомендации по их применению.

Настоящий стандарт предназначен для использования подразделениями организации в рамках управления рисками и обеспечения качества изделий ракетно-космической техники с целью снижения последствий отрицательного воздействия вероятных событий, которые могут явиться причиной изменения качества, затрат, сроков или ухудшения технических характеристик изделий, отвечающих требованиям заказчика (потребителя), а также при разработке и совершенствовании действующей системы менеджмента качества.

Положения, представленные в настоящем стандарте, являются дополнительными по отношению к требованиям к системам менеджмента качества по ГОСТ Р ИСО 9001, ГОСТ Р ЕН 9100 и к порядку организации и выполнения работ по созданию, производству и эксплуатации изделий ракетно-космической техники.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 27.002 Надежность в технике. Термины и определения

ГОСТ 27.310 Надежность в технике. Анализ видов, последствий и критичности отказов. Основные положения

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51901.11 Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство

ГОСТ Р 51901.12 Менеджмент риска. Метод анализа видов и последствий отказов

ГОСТ Р 51901.14 Менеджмент риска. Структурная схема надежности и булевы методы

ГОСТ Р 51901.16 Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки

ГОСТ Р 52806 Менеджмент рисков проектов. Общие положения

ГОСТ Р 56078 Системы менеджмента качества предприятий авиационно-космической промышленности. Руководство по менеджменту риска в цепи поставок

ГОСТ Р 58780 Ракетно-космическая техника. Программа обеспечения качества. Общие положения

ГОСТ Р ИСО 10005* Менеджмент организации. Руководящие указания по планированию качества

* С 01.10.2020 действует ГОСТ Р ИСО 10005-2019 "Менеджмент качества. Руководящие указания по планам качества".

ГОСТ Р ИСО 11231 Менеджмент риска. Вероятностная оценка риска на примере космических систем

ГОСТ Р ИСО 17666 Менеджмент риска. Космические системы

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 31010-2010* Менеджмент риска. Методы оценки риска

________________
* Вероятно, ошибка оригинала. Следует читать: ГОСТ Р ИСО/МЭК 31010-2011. — Примечание изготовителя базы данных.

ГОСТ Р ЕН 9100 Системы менеджмента качества организаций авиационной, космической и оборонной отраслей промышленности. Требования

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте федерального органа исполнительной власти в сфере стандартизации в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

3.1 В настоящем стандарте применены термины по ГОСТ Р ИСО 9000, ГОСТ 27.002, а также следующие термины с соответствующими определениями:

анализ риска: Процесс изучения природы и характера риска и определения уровня риска.

Источник

Adblock
detector