06 января 2016г.
Аннотация.
Управление рисками организации усложняется с еѐ ростом, вместе с увеличением самих рисков. Неоценимую помощь в процессе риск-менеджмента могут оказать готовые стандарты и рекомендации, предлагающие набор принципов по управлению рисками организации любого масштаба. Примером такого стандарта может служить ISO 31000, набирающий популярность сегодня во многих странах. Этому стандарту и посвящена данная статья.
Ключевые слова: ISO 31000, стандарт, руководство, риск, управление рисками, организация.
Деятельность любой организации подвержена рискам, способным оказать влияние на эффективность работы компании, репутацию, безопасность. Таким образом, эффективное управление рисками позволяет организациям показывать хорошие результаты в условиях неопределенности.
Неоценимую помощь в решении проблем риск-менеджмента могут оказать стандарты и пакеты рекомендаций, представляющие по сути уже готовые описания принципов, структуры и управления рисками. Ярким примером такого стандарта является ISO 31000 «Менеджмент рисков».
Согласно описанию его создателей, использование ISO 31000 может помочь организациям повысить вероятность достижения целей, улучшить выявление возможностей и угроз, эффективно распределить и использовать ресурсы для обработки рисков. Организации, использующие данный стандарт, могут сравнить их методы управления рисками с международно-признанным эталоном, предоставляя обоснованные принципы эффективного менеджмента и корпоративного управления.
Кевин Найт, председатель рабочей группы ISO, разработавшей ISO 31000, комментирует: "Все организации, независимо от того, насколько они большие или маленькие, сталкиваются с внутренними и внешними факторами, которые создают неопределенность, смогут ли они достигнуть своих целей. Эффект от этой неопределенности является риск и он присущ всем видам деятельности".
Можно выделить целый ряд причин, почему сегодня нужно обратить внимание именно на этот стандарт.
Во-первых, ISO 31000 – это первый, по-настоящему, глобальный и универсальный документ, описывающий в деталях, как нужно управлять рисками.
Во-вторых, хоть стандарт и направлен, в основном, на управление рисками с помощью риск-каталогов, его можно легко расширять и применять в других областях риск-менеджмента.
В-третьих, очень вероятно, что именно этот стандарт в ближайшем будущем будет наиболее влиятельным и популярным сборником принципов управления рисками во многих странах.
ISO 31000 появился в результате расширения идей стандарта AS/NZS 4360 «Risk management» – стандарта риск-менеджмента для Австралии и Новой Зеландии. Стандарт AS/NZS 4360:2004 считается «черновым» вариантом ISO 31000. Также, большое влияние на итоговый вид стандарта оказало Руководство 73 «Управление рисками – Словарь» которое обновлялось вместе с разработкой ISO 31000 и ISO 31010 «Методы оценки риска».
Ключевые идеи, заложенные в стандарт, следующие:
- четкое определение риска,
- возможность интеграции в любую организацию,
- описание принципов управления рисками на разных уровнях организации,
- разграничение процесса управления рисками и системы управления рисками.
Рассмотрим эти идеи подробнее.
Четкое определение риска. Риск в стандарте определен как эффект влияние неопределенности на конечную цель, где «эффект» выражается отклонением результата от ожидаемого, как в плохую, так и хорошую сторону. Другими словами, риск – это любой результат, отличный от ожидания. Данное определение отличается от распространенного понимания риска как сугубо отрицательного явления.
Возможность интеграции в любую организацию. В стандарте встречается достаточно много отсылок к возможностям интеграции стандарта. Например, пункт 4.1: «Эта структура предназначена не для того, чтобы прописать систему управления, а для того, чтобы оказать помощь в организации интеграции управления рисками в общую систему управления. Таким образом, организации должны адаптировать компоненты стандарта для своих конкретных потребностей».
Можно неправильно интерпретировать данную формулировку, как указание на то, что что-то отдельное и независимое должно быть «адаптировано» или «встроено». На самом деле, речь идет о том, что основные виды деятельности по управлению организацией (принятие решений, планирование, оценка эффективности, и т.д.) должны производиться так, чтобы незапланированные результаты деятельности компании, как положительные, так и отрицательные, оценивались и учитывались должным образом.
Описание принципов управления рисками на разных уровнях организации. В целом данная идея неявно отражена в стандарте, но, тем не менее, многие формулировки ясно дают понять, что она все-таки заложена в стандарт. Например, «…эффективное управление рисками становится возможным с помощью применения процесса управления рисками на различных уровнях и в конкретных условиях организации».
Разграничение процесса управления рисками и системы управления рисками. Руководство ISO 31000 делится на две основные части:
1. Процесс управления рисками: процедура оценки и управления набором рисков.
2. Система управления рисками: все остальное. В частности:
a. Управление процессами управления рисками и соответствующими коммуникациями
b. Создание возможностей управления рисками с течением времени
Еще одна особенность ISO 31000, которую стоит упомянуть - стандарт не предназначен для сертификации, а также для использования в нормативных целях и в договорных отношениях.
Отсюда можно сделать два вывода. Первый – организации не могут быть проверены на соответствие данному стандарту официальными органами. Второй, вытекающий из первого, – стандарт можно использовать лишь частично, а также допускается вольная интерпретация формулировки, что дает большой простор для интеграции стандарта к конкретным условиям любой организации.
Подобные идеи управления рисками несет в себе не только ISO 31000, но и ряд других руководств и стандартов, принятых в США, Великобритании и других странах. К числу таких можно отнести, например, MIL- STD-882A System Safety Program Requirements (Министерство обороны, США, 1977), The Orange Book: Management of Risk - Principles and Concepts (HM Treasury, Великобритания, 2004), AS/NZS 4360 Risk management (Австралия и Новая Зеландия, 2004).
С другой стороны, существуют различные руководства, которые предлагают иные подходы к управлению рисками, например, Probabilistic Risk Assessment Procedures Guide for NASA Managers and Practitioners (NASA, США, 2002), Solvency II: Detailed guidance notes, Section 2: Model scope, governance, and use (Lloyds of London, Британия, 2010), The Green Book: Appraisal and Evaluation in Central Government (HM Treasury, Великобритания, 2003).
Руководство NASA, к примеру, построено вокруг вероятностных моделей поддержки проектных решений для сложных объектов (например, атомные электростанции) или миссий (например, космические полеты). Руководство Lloyds также делает акцент на поддержке принятия решений, а также на непрестанной работе по актуализации всех моделей по отношению к рынку.
Стандарт ISO 31000 находит широкое применение уже сегодня. В ряде стран были опубликованы стандарты, которые базируются на ISO 31000, в том числе в России, где он опубликован под названием ИСО 31000:2009 «Менеджмент рисков. Принципы и руководящие указания».
Международный стандарт ISO/IEC 27005:2011 «Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности» создан согласно принципам ISO 31000. Принципы, изложенные в ISO/IEC 27005:2011, полностью соответствуют ISO 31000:2009 «Менеджмент рисков. Принципы и руководства» и ISO Guide73:2009 «Менеджмент риска. Словарь».
Успех стандарта ISO 31000 на управление рисками подкрепляется выходом нового технического отчета из той же серии. ISO/TR 31004:2013 «Управление рисками. Руководство по внедрению ISO 31000» направлен на то, чтобы помочь организациям беспрепятственно адаптировать свою практику управления рисками к ISO 31000.
Подводя итог, можно заключить, что ISO 31000 – это важный стандарт, базирующийся на нескольких интересных идеях: легкая интеграция в любую организацию, управление рисками на разных уровнях организации, учет условий каждой конкретной организации.
Стандарт находит применение во многих странах и стоит ожидать, что в ближайшем будущем лишь укрепит свои позиции в этой области. Несмотря на построение принципов стандарта вокруг риск-каталога организации, ISO 31000 позволяет гибкое использование правил и становится практически универсальным для любой ситуации.
Список литературы
1. AS/NZS 4360:2004. Risk management. Standards Australia and Standards New Zealand, 2004
2. ISO 31000:2009. Risk management—Principles and guidelines, 2009
3. ISO 31010:2009. Risk management – Risk assessment techniques, 2009
4. ISO Guide 73:2009. Risk management—Vocabulary, 2009
5. Lloyds of London Solvency II: Detailed guidance notes, Section 2: Model scope, governance, and use, 2010
6. Лазарте М. Управление рисками с помощью ISO/TR 31004 // Портал http://www.iso.org/, 2013 (Дата обращения: 23.04.2015)
