Система управления рисками
Система управления рисками — это совокупность организационных структур, политик, процедур и практических методов, направленных на выявление, оценку, мониторинг и контроль потенциальных неблагоприятных событий (рисков), способных повлиять на достижение целей организации или проекта. Система управления рисками (СУР) является неотъемлемой частью корпоративного управления и стратегического планирования, обеспечивая обоснованное принятие решений в условиях неопределённости.
История развития
Концепция управления рисками прошла несколько этапов эволюции. Первоначально, в XIX — начале XX века, управление рисками сводилось преимущественно к страхованию имущественных и финансовых потерь. В середине XX века, с развитием крупных промышленных корпораций и финансовых рынков, возникла необходимость в системном подходе. В 1970-х годах появились первые профессиональные ассоциации риск-менеджеров (например, Risk and Insurance Management Society, RIMS). Ключевым этапом стало принятие в 2004 году стандарта COSO ERM (Enterprise Risk Management — Integrated Framework), который формализовал интегрированный подход к управлению рисками на уровне всей организации. В 2009 году был опубликован международный стандарт ISO 31000:2009 «Менеджмент рисков — Принципы и руководство», который стал основой для большинства национальных и отраслевых стандартов, включая российский ГОСТ Р ИСО 31000-2019.
Основные принципы
Согласно стандарту ISO 31000, система управления рисками базируется на следующих принципах:
- Интегрированность: управление рисками должно быть встроено во все процессы организации, а не существовать как отдельная функция.
- Структурированность и всеобъемлемость: подход должен быть систематическим, последовательным и своевременным.
- Адаптивность: СУР должна соответствовать внешнему и внутреннему контексту организации (отрасли, размеру, культуре).
- Инклюзивность: участие заинтересованных сторон (стейкхолдеров) на всех этапах процесса.
- Динамичность: риски могут возникать, изменяться или исчезать; система должна реагировать на изменения в реальном времени.
- Основанность на наилучшей доступной информации: решения должны приниматься на основе данных, фактов и экспертных оценок.
- Учёт человеческого фактора: поведение, культура и когнитивные искажения персонала влияют на эффективность системы.
- Постоянное улучшение: СУР должна совершенствоваться через обучение и адаптацию.
Структура и компоненты
Типовая система управления рисками включает следующие взаимосвязанные компоненты:
1. Политика и стратегия
Документ, определяющий цели управления рисками, допустимый уровень риска (аппетит к риску), распределение ответственности и принципы отчётности. В России крупные государственные корпорации (например, «Росатом», «Ростех») и компании с государственным участием обязаны утверждать такие политики в соответствии с методическими рекомендациями Минэкономразвития РФ.
2. Организационная структура
Создание подразделений (департаментов риск-менеджмента), назначение ответственных лиц (риск-менеджеров) и комитетов по рискам при совете директоров. В малых организациях функции СУР могут выполняться руководителем или бухгалтерией.
3. Процесс управления рисками
Циклический процесс, состоящий из следующих этапов:
- Идентификация рисков: выявление событий, которые могут повлиять на цели. Используются методы: мозговой штурм, SWOT-анализ, интервью с экспертами, анализ документации, карты потоков процессов.
- Анализ рисков: определение вероятности возникновения и величины последствий (количественная или качественная оценка). Для количественной оценки применяются методы: Value at Risk (VaR), анализ чувствительности, моделирование Монте-Карло.
- Оценка рисков: сравнение полученных уровней риска с установленными критериями (аппетитом к риску) для принятия решения о необходимости обработки.
- Обработка (реагирование) рисков: выбор и реализация мер по снижению риска. Основные стратегии:
- Уклонение (отказ от деятельности, порождающей риск).
- Снижение (уменьшение вероятности или последствий — например, установка противопожарной сигнализации).
- Передача (страхование, аутсорсинг, хеджирование).
- Принятие (осознанное принятие риска с резервированием средств на покрытие убытков).
- Мониторинг и пересмотр: постоянное отслеживание уровня рисков, эффективности мер и изменений внешней среды.
- Коммуникация и консультирование: обмен информацией о рисках с заинтересованными сторонами (персонал, инвесторы, регуляторы).
4. Информационное и технологическое обеспечение
Использование специализированного программного обеспечения (GRC-системы — Governance, Risk and Compliance), баз данных, систем раннего предупреждения. В России распространены решения таких разработчиков, как «1С:Управление рисками» и «SAP Risk Management».
Классификация рисков
Риски, как правило, классифицируют по источникам возникновения:
| Категория риска | Примеры |
|---|---|
| Финансовые | Кредитный риск, рыночный риск (изменение курсов валют, процентных ставок), риск ликвидности |
| Операционные | Сбои в производстве, ошибки персонала, сбои IT-систем, недобросовестность контрагентов |
| Стратегические | Изменение рыночной конъюнктуры, появление новых конкурентов, технологическое отставание |
| Регуляторные и правовые | Изменение законодательства, налоговые риски, судебные иски |
| Репутационные | Негативные публикации в СМИ, скандалы, потеря доверия клиентов |
| Природные и техногенные | Пожары, наводнения, землетрясения, аварии на производстве |
Применение в различных сферах
В корпоративном секторе
СУР является обязательным требованием для публичных компаний (в соответствии с Кодексом корпоративного управления Банка России) и для организаций, работающих в отраслях с повышенной опасностью (нефтегазовая, химическая, атомная промышленность). В российских компаниях, например, ПАО «Газпром» или ПАО «Сбербанк», существуют развитые департаменты риск-менеджмента, которые отчитываются перед советом директоров.
В государственном управлении
В РФ система управления рисками внедряется в рамках проектного управления в федеральных органах исполнительной власти (ФОИВ). Постановление Правительства РФ от 31.10.2018 № 1288 «Об организации проектной деятельности в Правительстве Российской Федерации» предписывает проводить оценку рисков для всех государственных программ и национальных проектов.
В банковской сфере
Банки обязаны соблюдать требования Базельского комитета по банковскому надзору (Базель III), которые предписывают создание систем управления кредитным, рыночным и операционным рисками. Центральный банк РФ (Банк России) осуществляет надзор за соблюдением этих нормативов, включая расчёт достаточности капитала с учётом рисков.
В страховании
Страховые компании используют СУР для оценки вероятности наступления страховых случаев, расчёта тарифов и формирования резервов. В России действует стандарт Банка России по управлению рисками для страховщиков (Указание № 4662-У).
Методологии и стандарты
Помимо ISO 31000, существуют и другие признанные методологии:
- COSO ERM — интегрированная модель, ориентированная на стратегические цели.
- FMEA (Failure Mode and Effects Analysis) — анализ видов и последствий отказов, применяется в машиностроении и авиации.
- HAZOP (Hazard and Operability Study) — метод оценки опасностей и работоспособности, широко используется в химической и нефтегазовой промышленности.
- M_o_R (Management of Risk) — методология, разработанная британским правительством для проектов государственного сектора.
Проблемы и ограничения
Внедрение СУР сопряжено с рядом сложностей:
- Субъективность оценок: особенно на этапе качественного анализа, где велика роль человеческого фактора.
- Недостаток данных: для точных количественных моделей требуется большой объём исторических данных, которые могут отсутствовать.
- Сопротивление изменениям: персонал может воспринимать СУР как дополнительный бюрократический контроль.
- Сложность интеграции: в крупных организациях с разрозненными подразделениями трудно создать единую систему.
- Игнорирование «чёрных лебедей»: редких, но катастрофических событий, которые трудно предсказать (например, пандемия COVID-19).
Перспективы развития
Современные тенденции включают автоматизацию СУР с использованием технологий искусственного интеллекта (ИИ) для прогнозирования рисков в реальном времени, внедрение непрерывного мониторинга (Continuous Risk Monitoring) и интеграцию с системами кибербезопасности (Cyber Risk Management). В России активно развивается направление управления рисками в сфере информационной безопасности (ИБ) в связи с ростом кибератак.
Источники
- ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство».
- COSO (2004). Enterprise Risk Management — Integrated Framework.
- Банк России (2014). Кодекс корпоративного управления.
- Постановление Правительства РФ от 31.10.2018 № 1288 «Об организации проектной деятельности в Правительстве Российской Федерации».
- Методические рекомендации по управлению рисками в государственных корпорациях (Минэкономразвития РФ, 2019).
- Холмс Э. (2013). Риск-менеджмент. — М.: Эксмо.
- ISO 31000:2018 Risk management — Guidelines.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →