Організації, незалежно від їхнього типу і розміру, повсякчас мають справу із зовнішніми й внутрішніми чинниками впливу, які породжують невизначеність щодо того, чи досягли вони своїх цілей.

Ризик-менеджмент дає можливість організаціям визначати стратегію, досягати мети та приймати обґрунтовані рішення, оскільки він є частиною управління і суттєво впливає на те, як здійснюється управління організацією на всіх рівнях.

Практики управління ризиками, що використовувалися до недавнього часу, стали вже неактуальними для вирішення сучасних завдань і протидії загрозам. З цією метою Міжнародна організація зі стандартизації (ISO) переглянула стандарт ISO 31000 «Управління ризиками. Керів ні принципи» і опублікувала нову версію – ISO 31000:2018.

Оновлена версія відомого стандарту

В оновленому документі – ISO 31000:2018 «Менеджмент ризиків. Принципи й керівні вказівки» – висвітлено принципи управління ризиками для поліпшення планування і прийняття ефективних рішень.

Метою перегляду стандарту було зробити його більш доступним для розуміння усіма зацікавленими сторонами

Зміни, внесені в нову редакцію стандарту ISO 3100:

• переглянуто принципи управління ризиками, які є ключовими критеріями успіху у сфері ризик-менеджменту
• зосереджено увагу на використанні лідерських якостей керівників вищої ланки, які повинні забезпечувати інтеграцію управління ризиками в усі організаційні заходи
• ґрунтовно розглянуто ітеративний характер управління ризиками, враховано новий досвід, знання і результати аналізу, що використовувалися для перегляду елементів процесу ризик-менеджменту, дій і контролю на кожному етапі процесу
• проведено впорядкування контенту з більшою орієнтацією на підтримку моделі відкритих систем, які мають регулярний зворотний зв’язок із зовнішнім середовищем для задоволення безлічі потреб і формування кореляцій

Ризик-менеджмент заснований на принципах, структурі й процесі, описаних у стандарті ISO 31000:2018 (рисунок 1).

Ці компоненти в певному виді (повністю або частково) можуть вже функціонувати в організації, однак, можливо, потрібна адаптація або покращення для того, щоб ризик-менеджмент був ефективним, результативним і послідовним.

Рисунок 1

Основні компоненти ризик-менеджменту

Кожний розділ стандарту було переглянуто і спрощено формулювання для полегшення розуміння й забезпечення доступності для всіх зацікавлених сторін.

У версії 2018 року увагу приділено передусім створенню та захисту цінностей як ключовому компоненту управління ризиками, а також особливостям інших суміжних принципів (таких як постійне вдосконалення, залучення зацікавлених сторін), спрямованих на організацію і врахування людських і культурних чинників.

Головна мета стандарту – допомогти організаціям у досягненні успіху в довгостроковій перспективі з урахуванням всіх зацікавлених сторін, забезпечуючи належні практики управління ризиками.

Принципи управління ризиками

Розглянемо, які принципи управління ризиками передбачає стандарт (рисунок 1).

Метою ризик-менеджменту є створення і захист цінностей.

Ризик-менеджмент покращує продуктивність, стимулює інновації та сприяє досягненню цілей.

Згідно з ISO 31000:2018 організація з ефективним ризик-менеджментом повинна дотримуватися наступних принципів

Принципи ризик-менеджменту:

Інтегрований.

Ризик-менеджмент є невіддільною частиною діяльності організації.

Структурований і всеосяжний.

Структурований і комплексний підхід призводить до узгоджених і порівнюваних результатів.

Адаптивний.

Cтруктура і процес ризик-менеджменту співвідносяться і налаштовуються з урахуванням зовнішнього і внутрішнього контексту організації, пов’язаного з її завданнями

Інклюзивний.

Своєчасне залучення зацікавлених сторін дає змогу врахувати їхні знання, погляди й думки, що призводить до підвищення обізнаності та обґрунтованості ризик-менеджменту.

Динамічний.

Ризики можуть виникати, змінюватися або зникати мірою змін зовнішнього і внутрішнього контексту організації, а ризик-менеджмент передбачає, виявляє, визнає і реагує на ці зміни й події відповідним чином і вчасно.

Заснований на найкращій доступній інформації. 

Як вхідні дані для процесу ризик-менеджменту застосовуються історичні та фактичні дані, а також прогнозні очікування – ризик-менеджмент враховує будь-які обмеження і невизначеності, пов’язані з наявними даними та очікуваннями, тому використовувана інформація повинна бути актуальною, зрозумілою і доступною для зацікавлених сторін.

Враховує людські й культурні чинники. 

Людська поведінка і культура суттєво впливають на всі аспекти ризик-менеджменту на кожному рівні й етапі.

Постійно покращуваний.

Ризик-менеджмент постійно вдосконалюється завдяки навчанню та накопиченню досвіду.

Процес ризик-менеджменту

Процес ризик-менеджменту передбачає систематичне застосування політик, процедур і практик для забезпечення обміну інформацією та консультування, визначення контексту, а також оцінювання ризиків, впливу на ризики, моніторинг, аналіз та документування ризиків, ведення звітності щодо ризиків.

Процес ризик-менеджменту повинен бути невіддільною частиною процесів управління і прийняття рішень та інтегрованим у структуру, діяльність та процеси організації. Його можна застосовувати на стратегічному, операційному, програмному або проєктному рівнях. У межах організації процес ризик-менеджменту може мати безліч варіантів використання, адаптованих з урахуванням необхідності досягнення цілей організації, а також зовнішнього і внутрішнього контекстексту.

Процес управління ризиками у стандарті ISO 31000:2018 розглянуто за розділами.

Розділи стандарту, пов’язані з процесом ризик-менеджменту:

• обмін інформацією та консультування n визначення сфери застосування, контексту і критеріїв;
• оцінювання ризику;
• вплив на ризик;
• моніторинг і перегляд;
• документування і звітність.

Терміни, що застосовуються в стандарті ISO 31000:2018

Важливо зрозуміти, як ефективно управляти ризиками, для цього необхідно з’ясувати основні терміни, використовувані в оновленому стандарті, а також властивості ризиків.

Ризик – це вплив невизначеності на цілі.

Цілі можуть мати різні аспекти й категорії та застосовуватися на різних рівнях. Ризик зазвичай визначається в термінах джерел ризику, потенційних подій, наслідків цих подій і їхньої ймовірності.

Ризик-менеджмент – скоординовані дії з управління організацією з урахуванням ризику.

Зацікавлена сторона – особа або організація, які можуть впливати чи піддаватися впливу або які вважають, що піддаються впливу будь-якого рішення або діяльності.

Джерело ризику – елемент, який окремо або в поєднанні з іншими може призводити до виникнення ризику. Подія – виникнення або зміна певних обставин.

Наслідок – результат події, що впливає на цілі.

Ймовірність (можливість) – шанс того, що щось може статися.

Контроль за ризиком – міра, яка стримує та/ або модифікує (змінює) ризик.

Процес управління ризиками відповідно до ISO 31000:2018

Процес управління ризиками передбачає наявність таких компонентів:

• підтримка з боку керівництва;
• інтеграція;
• створення інфраструктури;
• впровадження ризик-менеджменту;
• оцінювання ефективності;
• поліпшення.

Розглянемо компоненти цього процесу більш докладно.

Підтримка з боку керівництва

Завдання топменеджменту полягає в забезпеченні діяльності ризик-менеджменту на високому рівні, а саме:

• документальній підтримці в узгодженні документів з управління ризиками;
• виділенні ресурсів;
• призначенні відповідальних.

Це дає змогу:

• пов’язати ризик-менеджмент зі стратегією, цілями й культурою організації;
• врахувати всі обов’язкові й необов’язкові вимоги у сфері ризиків;
• затвердити рівень ризик-апетиту компанії;
• забезпечити комунікацію між цінностями ризик-менеджменту та усіма зацікавленими сторонами;
• сприяти систематичному підходу щодо моніторингу ризиків;
• забезпечити актуальність контексту організації.

Якщо в організації є внутрішні наглядові органи, то вони повинні контролювати процеси управління ризиками.

Інтеграція

Завдання ризик-менеджменту повинні вирішуватися на всіх рівнях компанії відповідальними особами, при цьому всі співробітники повинні розуміти важливість оброблення ризиків. Ризик-менеджмент має стати частиною організаційної культури компанії, її бізнес-процесів, стратегії, цілей.

Створення інфраструктури

Відповідальні особи, щоб створити інфраструктуру для управління ризиками, повинні розуміти зовнішній і внутрішній контекст компанії.

Зовнішній контекст компанії складається з:

• оцінювання різних зовнішніх чинників (соціальних, політичних, культурних, юридичних, фінансових, технологічних, економічних – як міжнародних, так і локальних)
• ключових драйверів і трендів, які впливають на цілі компанії
• очікувань і потреб зацікавлених сторін
• контрактних зобов’язань і взаємин
• складності й взаємозалежності мереж (технічних, соціальних, фінансових тощо).

Внутрішній контекст компанії складається з:

• місії та цілей;
• управлінської структури й відповідальних осіб;
• стратегій, цілей і політик;
• культури компанії;
•  внутрішніх нормативних документів;
• можливостей (фінансових, людських, процесів, систем і технологій);
• відомостей і даних;
• інформаційних систем та потоків;
• внутрішньокорпоративних взаємозалежностей і взаємозв’язків.

Підтримка з боку керівництва повинна виражатися у:

• визнанні важливості ризик-менеджменту;
• впровадженні механізмів управління ризиками в усі бізнес-процеси на всіх рівнях компанії;
• призначенні відповідальних осіб;
• виділенні необхідних ресурсів;
• арбітражі конфліктних ситуацій;
• перегляді й поліпшенні стратегій ризик-менеджменту.

Керівництво здійснює призначення організаційних ролей, покладає посадові обов’язки, при цьому наголошує на важливості ризик-менеджменту і призначає відповідальних посадових осіб (власників ризику).

Виділення ресурсів також виконує керівництво. У цьому випадку ресурси – це:

• співробітники;
• компетенції;
• досвід;
• організаційні процеси;
• методи й інструменти;
• документарне забезпечення діяльності;
• системи управління знаннями та інформацією,
• навчальні курси й професійний розвиток.

Впровадження ризик-менеджменту

Впровадження складається з кількох етапів

Етапи впровадження ризик-менеджменту

• розроблення плану з урахуванням тимчасових і інших ресурсів
• визначення того, де, ким, як і коли будуть прийматися певні управлінські рішення;
• зміна процесів прийняття рішень (мірою необхідності);
• перевірка того, що внутрішні домовленості про управління ризиками зрозумілі і їх дотримуються.

Оцінювання ефективності

Для оцінювання ефективності роботи управління ризиками компанії слід періодично оцінювати ефективність у досягненні цілей, планів, індикаторів і очікуваної поведінки, а також визначати, чи залишається інфраструктура придатною для досягнення цілей компанії.

Поліпшення

Організаціям слід безперервно відстежувати актуальність впровадженого процесу й адаптувати його під змінюваний внутрішній або зовнішній контекст. Усі виявлені недоліки та/або шляхи опти мізації повинні бути враховані й заплановано їхнє усунення та/або впровадження з призначенням відповідальних осіб.

Ітеративний процес управління ризиками

Відповідно до стандарту ISO 31000:2018 ітеративний процес управління ризиками складається з кількох етапів

Етапи ітеративного процесу ризик-менеджменту:

• ідентифікація ризиків
• вплив на ризик
• аналіз ризиків
• моніторинг та перегляд
• оцінювання ризиків
• документування та звітність

Етап 1. Ідентифікація ризиків

Мета ідентифікації – пошук, аналіз і опис ризиків, які можуть допомогти або перешкодити компанії в досягненні цілей.

Слід враховувати: 

• матеріальні й нематеріальні джерела ризиків; 
• причини та події;  загрози та можливості;
• уразливості й ресурси;
• зміни внутрішнього й зовнішнього контексту;
• показники зростальних ризиків;
• природу і цінність активів і ресурсів;
• наслідки та їхній вплив на цілі;
• обмеження в знаннях і правдивості інформації;
• тимчасові обмеження;
• думки, припущення й упередження залучених сторін.

Для ідентифікації ризиків доцільно використовувати класифікатори, які можуть знадобитися, щоб визначитись з наявністю певних ризиків в тому чи іншому виді діяльності та напрямом роботи з ними.

Етап 2. Аналіз ризиків

Мета аналізу ризиків – зрозуміти природу ризиків і їхні характеристики, в тому числі рівень. Організації слід уточнити величину і вид ризику, який вона може або не може прийняти з урахуванням поставлених цілей. Також необхідно визначити критерії оцінювання значущості ризику та обґрунтувати процес прийняття рішень.

Критерії ризику повинні бути узгоджені зі структурою ризик-менеджменту й адаптовані до певних цілей і сфери охоплення такої діяльності. Результати аналізу ризиків є вхідними даними для наступного етапу оцінювання ризиків, а також для подальшого прийняття рішень про оброблення ризиків і обрання оптимальної стратегії й методів.

Етап 3. Оцінювання ризиків

Мета оцінювання ризиків – допомогти в ухваленні рішення під час подальшого оброблення ризиків шляхом порівняння даних аналізу та критеріїв ризику з метою визначення, чи потрібні якісь додаткові дії. Результатом цього етапу можуть бути прийняті рішення про те, що подальших дій після оброблення ризику не потрібно, або слід переходити до обрання методів оброблення ризику, або потрібно повернутися на етап аналізу ризику для більш точного його розуміння, або необхідно забезпечити поточний рівень заходів управління ризиком, або слід провести повторний аналіз цілей компанії. При цьому під час прийняття рішення слід враховувати можливі наслідки для зацікавлених сторін.

Оцінювання ризиків може бути проведено кількісно (в цифровому значенні) або якісно (великий/малий тощо) одним із методів, вказаних у стандарті ISO 31010:2019.

Етап 4. Вплив на ризик

Мета цього етапу полягає в обранні й застосуванні варіантів реагування на ризик.

Вплив на ризик – це ітеративний процес, що охоплює:

• визначення й обрання варіантів впливу на ризик;
• планування і виконання впливу на ризик;
• оцінювання ефективності такого впливу;
• прийняття рішення про прийнятність залишкового ризику;
• у разі, якщо рівень залишкового ризику не прийнятний, проведення подальшого впливу.

Обрання найбільш відповідного варіанту або варіантів впливу на ризик передбачає порівняння переваг, очікуваних від досягнення цілей

впливу на ризик, з витратами, зусиллями та недоліками реалізації у процесі впливу. Варіанти впливу на ризик не обов’язково є взаємозаперечними або відповідними за будь-яких обставин. Їх можна застосовувати окремо (один) або поєднувати кілька варіантів.

Варіанти впливу на ризик:

• уникнути ризику шляхом прийняття рішення не починати або не продовжувати діяльності, що породжує ризик;
• прийняття або збільшення ризику для використання сприятливої можливості;
• усунення джерела ризику;
• зміна ймовірності;
• зміна наслідків;
• поділ впливу на ризик з іншою стороною або сторонами (наприклад, за допомогою договорів, страхування);
• усвідомлене утримання ризику.

Обґрунтування необхідності впливу на ризик виходить за межі виключно економічних міркувань і має враховувати всі зобов’язання організації, добровільні зобов’язання і думки зацікавлених сторін. Обрання варіантів впливу на ризик має проводитися відповідно до цілей організації, критеріїв ризику і доступних ресурсів.

При цьому зазначимо, що обраний спосіб впливу на ризик сам може бути причиною появи нових ризиків, а у разі, коли наявні способи впливу на ризик недостатні або взагалі недоступні, ризик слід задокументувати й періодично повертатися до нього для пошуку нових способів впливу на нього.

Далі слід розробити та реалізувати план впливу на ризики, який має містити послідовність і опис кроків впливу, а також бути інтегрованим у бізнес-процеси компанії й управлінські плани.

Етап 5. Моніторинг та перегляд

Мета цього етапу – перевірити та/або поліпшити якість і ефективність процесів розроблення, реалізації та результатів процесу ризик-менеджменту. Моніторинг та перегляд слід здійснювати на всіх етапах процесу управління ризиками, при цьому необхідно його планувати, збирати й аналізувати інформацію, записувати результати й здійснювати зворотний зв’язок.

Етап 6. Документування та звітність

Сам процес ризик-менеджменту і його результати повинні бути задокументовані й повідомлені відповідним особам з метою прийняття поінформованих рішень, поліпшення діяльності у сфері управління ризиками, а також для взаємодії між зацікавленими сторонами. Є кілька перешкод на шляху впровадження управління ризиками в організації

Перешкоди для впровадження управління ризиками:

• відсутність організаційної культури, в якій цінують вигоди від управління ризиками
• слабкість навичок управління ризиками n нестача часу і ресурсів для підтримки процесу
• слабка підтримка вищого керівництва
• відсутність навчання, знань та інструментів у співробітників
• брак чітких інструкцій для менеджерів середньої ланки
• відсутність мотивації для учасників процесу
• неефективні комунікації

Поміж перелічених перешкод найбільш розповсюдженими є неефективні комунікації, відсутність організаційної культури та недостатня підтримка з боку керівництва.

Необхідно виділити кілька слушних моментів, тобто час, коли керівництву рекомендується звернути увагу на вигоди і можливості управління ризиками.

 1. Період змін в організаційній структурі чи складі персоналу організації. У процесі цих змін потрібно актуалізувати розподіл ролей і обов’язків з управління ризиками та переконатися, що використовувані підходи відомі новій управлінській команді.

2. Будь-які трансформації організації. Під час масштабних змін з’являються відповідні можливості для запускання процесів управління ризиками стосовно самих змін.

3. Затвердження нових стандартів на рівні організації або країни. Якщо стандарти стосуються управління ризиками, то повинна бути запущена процедура актуалізації процесу. Якщо стандарти охоплюють суміжні процеси, то має бути оновлений інтерфейс взаємодії процесу управління ризиками з цими суміжними процесами.

4. Реалізація непередбаченої негативної або позитивної для організації події. У цьому випадку запускається процес визначення причин, оцінювання впливу цієї події на організацію і фіксації засвоєних уроків. Такий інцидент, особливо якщо він реалізувався повторно, може бути тригером для прийняття рішення про впровадження формалізованого процесу управління ризиками.