ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Менеджмент риска

ОСНОВНЫЕ ПОДХОДЫ К МЕНЕДЖМЕНТУ РИСКА ОРГАНИЗАЦИЙ МАЛОГО И СРЕДНЕГО

БИЗНЕСА

Издание официальное

Москва

Стандартинформ

2015

P 50.1.091—2014

Предисловие

1    РАЗРАБОТАНЫ Некоммерческим партнерством «Русское общество управления рисками» (РусРиск)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2014 г. № 1276-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Правила применения настоящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок—в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2015

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

P 50.1.091—2014

Содержание

1    Область применения...................................................1

2    Нормативные ссылки..................................................1

3    Термины и определения................................................1

4    Преимущества эффективного менеджмента риска................................3

5    Источники опасных событий в организациях малого и среднего бизнеса..................3

6    Элементы системы менеджмента риска.......................................⁴

7    Процесс менеджмента риска..............................................⁴

Приложение А (справочное) Краткая анкета для определения аппетита риска...............10

Приложение Б (справочное) Пример политики в области менеджмента риска...............11

Приложение В (справочное) Пример реестра риска организации малого и среднего бизнеса.....12

Приложение Г (справочное) Пример классификатора рисков организации малого и среднего

бизнеса..................................................13

Приложение Д (справочное) Пример опросника для оценки культуры управления рисками.......15

III

Введение

В процессе своей деятельности организации малого и среднего бизнеса сталкиваются с большим количеством событий, которые могут как положительно, так и отрицательно повлиять на достижение поставленных целей, нанести ущерб, привести к банкротству организации, принести новые возможности и новые опасности.

Менеджмент риска является неотъемлемой частью управления для организаций различных форм собственности и видов выполняемой деятельности. Идентификация оценки и обработка риска позволяют организации лучше прогнозировать свою деятельность, предотвращать и минимизировать потери.

Часто организации малого и среднего бизнеса не могут применять многие стандартные методы менеджмента риска крупных организаций. Такая специфика потребовала создания документа, который включает рекомендации по менеджменту риска в организациях малого и среднего бизнеса.

Процесс менеджмента риска, представленный в настоящих рекомендациях, носит общий характер и применим для различных отраслей и видов деятельности. Для конкретных отраслей могут существовать отдельные документы, которые устанавливают методологии оценки и анализа риска в конкретных условиях применения. Если требования этих документов не снижают требования настоящих рекомендаций. то их применение является предпочтительным.

IV

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент риска

ОСНОВНЫЕ ПОДХОДЫ К МЕНЕДЖМЕНТУ РИСКА ОРГАНИЗАЦИЙ МАЛОГО

И СРЕДНЕГО БИЗНЕСА

Risk management. Main approaches to risk management of small and medium-sized enterprises

Дата введения — 2015—12—01

1    Область применения

Общие принципы менеджмента риска и методы оценки риска установпены в ГОСТ Р ИСО 31000 и ГОСТ Р ИСО/МЭК 31010. В настоящих рекомендациях установпены особенности применения менеджмента риска в организациях малого и среднего бизнеса.

Настоящие рекомендации могут быть применены на всех этапах жизненного цикла организации, а также к различным видам деятельности и любому виду риска, вне зависимости от его природы, возможных причин и последствий.

Рекомендации предназначены для малых и средних организаций, предпринимателей, менеджеров и консультантов в сфере малого и среднего бизнеса.

Рекомендации не предназначены для сертификации системы менеджмента риска организации.

2    Нормативные ссылки

В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 31010—2011 Менеджмент риска. Методы оценки риска

ГОСТ Р 51897-2011 Менеджмент риска. Термины и определения

Р 50.1.084—2012 Менеджмент риска. Реестр риска. Руководство по созданию реестра риска организации

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных документов в информационной системе общею пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный документ заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться заменяющим (измененным) документом. Если ссылочный документ отменен без замены, то положение. в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3    Термины и определения

В настоящих рекомендациях применены термины по ГОСТ Р 51897, а также следующие термины с соответствующими определениями:

3.1 аппетит риска, предпочтительный риск: Общий уровень риска, который организация готова принять в любой момент времени. Аппетит риска организации малого и среднего бизнеса определяет то, как организация относится к управлению отдельными рисками и к менеджменту риска в целом.

Издание официальное

3.2    владелец риска: Лицо или организация, имеющие ответственность и полномочия по менеджменту риска.

3.3    идентификация (выявление) риска: Процесс определения, составления перечня и описания элементов риска.

Примечания

1    Элементы риска могут включать в себя источники риска, события, их причины и возможные последствия.

2    Идентификация риска может также включать в себя теоретический анализ, анализ хронологических данных. экспертных оценок и потребностей причастных сторон.

3.4    классификатор рисков: Перечень возможных групп рисков и примеров рисков, используемый в процессе выявления рисков. Классификатор рисков позволяет сотрудникам более эффективно выявлять возможные риски.

3.5    матрица риска: Инструмент классификации и представления риска путем ранжирования последствий и вероятности (правдоподобности).

3.6    менеджмент риска: Скоординированные действия по руководству и управлению организацией в области риска.

3.7    метод Монте-Карло: Метод оценки рисков, основанный на получении большого числа реализаций стохастического (случайного) процесса, который формируется таким образом, чтобы его вероятностные характеристики совпадали с аналогичными величинами решаемой задачи.

3.8    мониторинг риска: Систематическое обновление информации об уровне риска и внешних или внутренних факторах, влияющих на уровень риска, а также о статусе мероприятий по управлению риском.

3.9    обработка риска: Процесс модификации риска.

Примечания

1    Обработка риска может включать в себя.

-    исключение риска путем принятия решения не начинать или не продолжать деятельность, в процессе или в результате которой может возникнуть опасное событие;

-    принятие или повышение риска для обеспечения более широких возможностей:

-    устранение источников риска;

-    изменение правдоподобности/вероятности опасного события;

-    изменение последствий опасного события;

-    разделение риска с другой стороной или сторонами (путем включения в контракты или финансирования обработки риска);

-    обоснованное решение о сохранении риска.

2    Меры по обработке риска могут включать в себя устранение, предотвращение или снижение риска.

3    При обработке риска могут возникнуть новые риски и могут измениться существующие риски.

3.10    оценка риска: Процесс, охватывающий идентификацию риска, анализ риска и сравнительную оценку риска.

3.11    политика в области менеджмента риска: Заявление высшего руководства об общих намерениях. руководящих принципах и направлениях деятельности организации в области менеджмента риска.

3.12    реестр риска: Форма записи информации об идентифицированном риске.

3.13    риск: Следствие влияния неопределенности на достижение поставленных целей.

Примечания

1    Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2    Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т. п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

3    Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

4    Риск часто представляют в виде последствий возможного события (включая изменение обстоятельств) и соответствующей вероятности.

5    Неопределенность — это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятности.

3.14    система менеджмента риска: Совокупность элементов системы менеджмента организации. относящихся к менеджменту риска.

P 50.1.091—2014

Примечание — Элементы системы менеджмента риска могут быть связаны с выполнением идентификации. анализа, оценки, обработки и мониторинга риска, а также со стратегическим планированием, принятием решений и процессами менеджмента риска.

3.15 уровень риска: Мера риска или комбинации нескольких видов риска, характеризуемая последствиями и их правдоподобностью/вероятностью.

4 Преимущества эффективного менеджмента риска

Эффективный менеджмент риска несет в себе существенные выгоды для организаций малого и среднего бизнеса:

а)    Менеджмент риска повышает качество принимаемых решений

Менеджмент риска помогает собственникам и руководителям организаций малого и среднего бизнеса принимать оптимальные решения и определять альтернативные действия с учетом не только финансовой выгоды, но и соответствующих рисков.

б)    Менеджмент риска способствует повышению прозрачности и стоимости бизнеса

Эффективная система менеджмента риска позволяет своевременно выявлять риск и реагировать

на него, что не только минимизирует финансовые потери и потери репутации, но и повышает рыночную стоимость организации и обеспечивает прозрачность и привлекательность бизнеса для финансовых институтов, страховых компаний, корпоративных партнеров и инвесторов.

в)    Менеджмент риска повышает устойчивость малого и среднего бизнеса к внешним угрозам и шокам

Менеджмент риска позволяет своевременно анализировать влияние изменений внешних факторов на деятельность организации. Организации малого и среднего бизнеса, которые эффективно управляют рисками, становятся более устойчивыми к внешним рыночным колебаниям и шокам, так как заблаговременно готовы к ним.

г)    Менеджмент риска способствует укреплению корпоративной культуры в организациях малого и среднего бизнеса

Эффективность менеджмента риска невозможна без информационного взаимодействия и слаженной работы всех сотрудников организации. Внедрение системы менеджмента риска способствует укреплению корпоративных связей и развитию взаимодействия внутри организации.

5 Источники опасных событий в организациях малого и среднего бизнеса

Деятельность организаций малого и среднего бизнеса зачастую связана с высокой неопределенностью. Для эффективного менеджмента риска организаций малого и среднего бизнеса необходимо учитывать следующие источники риска:

а)    управленческая команда — риск, связанный с недостаточной мотивацией, компетентностью членов команды или неполной ее комплектацией;

б)    спрос, рынок и конкуренты — риск, связанный с действиями текущих или потенциальных конкурентов. а также риск, связанный с высокой неопределенностью спроса на продукт или услугу;

в)    технологический риск — риск, вызванный стабильностью и опасностью технологии, а также с ее техническими характеристиками;

г)    риск, связанный с производством/реализацией — риск, связанный с производственными инцидентами. техникой безопасности, экологической безопасностью;

д)    риск, связанный со строительством и поставкой оборудования — риск, связанный с проведением строительно-монтажных работ, закупкой и установкой оборудования в срок, обеспечение бюджета и соответствие работ требованиям заказчика;

е)    финансовый риск—валютный, процентный, налоговый, ценовой риск, а также риск, связанный с ликвидностью и привлечением финансирования;

ж)    юридический риск/законодательство — риск, связанный с текущими или прогнозируемыми законодательными ограничениями, исками и претензиями со стороны третьих лиц, а также связанные с актуальностью патентов, лицензий и допусков;

и) поставщики/стратегические партнеры — риск, связанный с действиями поставщиков или стратегических партнеров, например несвоевременное или некачественное выполнение своих обязательств.

3

6    Элементы системы менеджмента риска

6.1    Определение аппетита риска организации

Система менеджмента риска в организации малого и среднего бизнеса должна быть разработана в соответствии с аппетитом риска собственников. Аппетит риска определяет, насколько формализована или адаптивна система менеджмента риска в организации.

Чем меньше аппетит риска у собственника или акционеров, тем больше внимания следует уделять своевременной и качественной обработке риска.

Основные решения, связанные с определением аппетита риска, должны приниматься собственником организации. Принятые решения следует своевременно доводить до руководства организации.

Определение аппетита риска не означает, что организация должна отказываться от принятия решений, связанных с риском. Это означает, что организация примет риск в том случае, если он будет соответствующим образом компенсирован — т. е. принесет достаточную прибыль для покрытия потерь от реализации опасного события.

Приложение А содержит короткий опросник, предназначенный для определения аппетита риска для организаций малого и среднего бизнеса.

6.2    Политика в области менеджмента риска

Важным элементом системы менеджмента риска является документированная политика в области менеджмента риска, которая включает описание подхода организации к обработке риска, ее готовность принять риск. т. е. аппетит риска, а также ресурсы и действия, направленные на менеджмент риска. В политике также необходимо отразить цели, которые определяют и направляют деятельность организации по менеджменту риска, и оценку эффективности достижения поставленных целей.

В приложении Б приведен пример политики менеджмента риска для организаций малого и среднего бизнеса.

7    Процесс менеджмента риска

Процесс менеджмента риска представляет собой набор действий, направленных на своевременное выявление, анализ и предотвращение или минимизацию последствий реализации опасных событий для организаций малого и среднего бизнеса, и включает:

-    идентификацию риска;

-    анализ и оценку риска;

-    реагирование на риск:

-    отчетность и мониторинг;

- развитие культуры менеджмента риска.

7.1    Идентификация риска

Выявление опасных событий направлено на определение внутренних или внешних событий, которые в случае реализации могут негативно повлиять на достижение целей организации малого и среднего бизнеса. В процессе идентификации риска необходимо определить наиболее существенные события, которые могут нанести финансовые потери или ущерб репутации организации.

Организации малого и среднего бизнеса могут использовать следующие способы для выявления рисков:

7.1.1    Идентификация риска путем анализа денежных потоков

Для идентификации риска организации малого и среднего бизнеса необходимо сформировать карту денежных потоков организации. При этом денежные потоки организации могут быть разделены на доходную (продажи товаров, выручка от оказанных услуг и т. д.) и расходную части (арендные платежи, закупка сырья.

7.2 Анализ и оценка рисков

После того, как основные риски идентифицированы, их необходимо проанализировать и оценить для определения наиболее существенных рисков, тех рисков, которые впоследствии руководство организации будет обрабатывать. Для организаций малого и среднего бизнеса, обладающих ограниченными ресурсами важно определить перечень рисков, которые потребуют ресурсы для обработки в первую очередь.

Для оценки рисков в организациях малого и среднего бизнеса может использоваться один изследу-ющих подходов.

7.2.1 Экспертная оценка рисков

Для оценки и ранжирования рисков каждый риск характеризуют по двум параметрам: возможный ущерб, который реализация опасного события может нанести организации, и вероятность наступления такого ущерба.

Оценка риска может проводиться как индивидуально сотрудниками или руководителями организации, так и рабочими группами. Однако наибольшего эффекта удается достичь организациям малого и среднего бизнеса, которые выявляют и оценивают риски организации в рамках групповых дискуссий.

Ущерб от реализации опасного события может быть финансовым (увеличение существующих расходов. новые, незапланированные расходы или снижение доходов), экологическим (ущерб экологии), связанным с безопасностью (травмы персонала) или репутационным (потеря доверия клиентов или поставщиков). Ниже приведен пример оценочной шкалы, которая может применяться для ранжирования рисков организаций малого и среднего бизнеса.

1    Низкий ущерб. Ущерб для организации незначителен, не требует существенных ресурсов или привлечения стратегических резервов для его покрытия. Ущерб для репутации организации отсутствует или не существенный.

2    Средний ущерб. Значительный ущерб, который, однако, может быть покрыт из собственных резервов. При этом не возникает серьезных угроз существованию и устойчивости организации. Ущерб для репутации организации носит кратковременный характер.

3    Высокий ущерб. Значительный ущерб, для покрытия которого требуются заемные средства или другие внешние источники финансирования; возникает угроза устойчивости и существованию организации. Существенный, долгосрочный ущерб репутации организации. Существенный экологический ущерб или угроза жизни сотрудников.

После того, как каждый выявленный риск оценен с точки зрения ущерба, необходимо экспертно оценить вероятность наступления такого ущерба. Ниже приведен пример шкалы вероятности, которая может применяться для ранжирования рисков в организациях малого и среднего бизнеса.

1    Низкая вероятность. Низкая вероятность реализации опасного события в течение года.

2    Средняя вероятность. Опасное событие скорее всего произойдет с вероятностью в течение

года.

3    Высокая вероятность. Опасное событие уже неоднократно реализовалось в отрасли, высокая степень неопределенности относительно вероятности реализации данного события, внутренние или внешние предпосылки, которые указывают на то. что событие скорее всего реализуется в течение ближайшего года.

Когда каждый выявленный риск оценен с точки зрения возможного ущерба и вероятности наступления такого ущерба, необходимо провести ранжирование рисков и определить наиболее существенные риски. Для ранжирования рисков в организациях малого и среднего бизнеса используется матрица рисков. Пример матрицы риска для организаций малого и среднего бизнеса представлен на рисунке 3.

6