СРАВНЕНИЕ ВЕРСИЙ НАЦИОНАЛЬНОГО СТАНДАРТА РОССИЙСКОЙ ФЕДЕРАЦИИ «МЕНЕДЖМЕНТ РИСКА. ПРИНЦИПЫ И РУКОВОДСТВО» (ГОСТ Р ИСО 31000:2019 И ГОСТ Р ИСО 31000:2010) С УЧЕТОМ ПЕРВОИСТОЧНИКОВ

Введение

Риск-менеджмент как самостоятельное направление управленческой и научной мысли окончательно сформировался в 1955–1956 годах: в 1955 году термин «риск-менедж-мент» был предложен в Темплском университете США профессором страхования У. Снайдером; в 1956-м в журнале Harward Business Review Р. Галлахером впервые была описана профессия риск-менеджера; в 1963 году И. Мэром и Б.А. Хеджесом был опубликован первый учебник по управлению рисками на коммерческом предприятии [Любухин, 2021].

В настоящий момент, распространившись далеко за рамки области финансов и обеспечения производственной безопасности, управление рисками охватывает в той или иной степени практически все отрасли деятельности предприятий, превратившись из узкого специфичного инструмента в одну из ключевых составляющих системы управления современной организации [Опарин, 2017].

С целью систематизации знаний и представлений о рисках в 1995 году выпущен стандарт по управлению рисками AS/NZS 4360:1995 (первый национальный стандарт, распространяющийся на территорию Австралии и Новой Зеландии). Стандарт содержит общие рекомендации по менеджменту риска для обеспечения соответствующей деятельности в части высшего руководящего состава как государственных, так и частных и общественных организаций, групп лиц [Любухин, 2021].

После выхода ряда национальных стандартов в области управления рисками, в частности в Канаде и Японии, в 2009 году Международной организацией по стандартизации выпущена первая редакция международного стандарта ISO 31000:2009. Risk management – Principles and guidelines¹ (далее – стандарт ISO 31000:2009), который был переведен и введен в действие в Российской Федерации в 2010 году. ГОСТ Р ИСО 31000-2010² являлся ключевым нормативным документом в сфере риск-менеджмента в России до конца 2019 года [Секлецова, Ермолаева, 2020].

Предваряя изложение основного материала статьи, необходимо отметить, что прежняя и нынешняя версии стандарта не только по букве, но и по духу весьма близки друг к другу. С нашей точки зрения, ключевая идея обеих версий стандарта выражается в том, что менеджмент риска не может рассматриваться в качестве отдельной функциональной деятельности в организации, а представляет собой определенный набор инструментов и методов, позволяющих менеджерам компании принимать с учетом риска и не- определенности более качественные управленческие решения. В то же время обновление стандарта может служить как поводом, так и обоснованием необходимости внедрения риск-менеджмента в организации, что, на наш взгляд, все еще весьма актуально для большинства организаций в стране. Таким образом, можно оценить измененные формулировки стандарта и с политической точки зрения, в частности с точки зрения их восприятия лицом, принимающим решение. Не умаляя значимости работы, проведенной авторами стандарта ГОСТ Р ИСО 31000:2019³, мы хотели бы отметить, что ряд формулировок, используемых в стандарте ГОСТ Р ИСО 31000:2010, является более удачным с отмеченной точки зрения.

Структура текста стандарта ГОСТ Р ИСО 31000:2019 состоит из четырех больших смысловых блоков: основных терминов, принципов, структуры и процессов.

Термины. Кардинально изменился раздел «Термины и определения» – в первой версии 2010 года было расшифровано 29 понятий, в новой версии 2019 года стало всего 9. Причем в английской редакции 2018 года 5 терминов прямо перекочевали из старой версии, а в русской все 9 терминов подверглись корректировке. Из 20 не вошедших в глоссарий терминов в новом стандарте не используются только 2, остальные расшифровываются и раскрываются прямо в тексте.

Определение термина «риск» дополнено примечанием о том, что риск может быть связан одновременно и с негативными, и позитивными последствиями.

Введение термина «причастная сторона» является новацией нового российского стандарта ГОСТ Р ИСО 31000-2019 и требует дополнительного смыслового терминологического разбора и сопоставления с термином «заинтересованная сторона» для установления или опровержения синонимичности понятий.

В части определения «событие» (event) в стандарте ГОСТ Р ИСО 31000-2019 опущено примечание о том, что событие помимо нескольких причин возникновения может иметь не одно, а несколько последствий завершения (что также является нововведением стандарта ISO 31000:2018⁴). Также в отношении определения термина «последствия» в русской версии стандарта отсутствуют два значимых аспекта, присутствующих в примечаниях к термину в стандарте ISO 31000:2018, в частности о том, что последствия могут влиять на цели прямо или косвенно, а также о возможности наличия кумулятивного эффекта наряду с каскадным в отношении результата последствий.

Отсутствует в новом стандарте определение термина «уровень риска» (risk level), при этом он применяется в тексте без раскрытия его сущности, что может повлечь неоднозначные толкования термина.

В новой версии исчезло понятие «остаточный риск», что может вносить некоторую неопределенность в представление о риск-менеджменте на уровне общего понимания работы с рисками в организации.

Принципы. Схема принципов существенно упрощена по сравнению с предыдущей версией стандарта и подчеркивает равную значимость каждого принципа за счет представления в виде секторов единого размера, сокращения их наименований. Центральное место (а не равнозначное, как раньше) занял принцип: «Риск-менеджмент служит созданию и защите ценности». Фактически это – создание и защита ценности – объявляется целью риск-менеджмента. Исключены два принципа: рассмотрение риск-менеджментом исключительно неопределенности и включение риск-менеджмента в процесс принятия решений.

Вместе с тем авторы хотят отметить, что сокращенные формулировки принципов риск-менеджмента в новой редакции стандарта, несмотря на приводимые расшифровки по сравнению с формулировками в предыдущей версии, могут породить недопонимание сути принципа, прежде всего у высшего руководства, о чем будет рассказано в соответствующей части статьи.

Структура. Изменился перевод термина «структура менеджмента риска» (risk management framework) – ранее он переводился как «инфраструктура риск-менеджмента». Изменилась схема: «лидерство и приверженность» стали центральным элементом структуры, остальные элементы равнозначны друг другу. Добавлен новый элемент структуры – «адаптация». Блок «Мониторинг и анализ инфраструктуры» заменен блоком «Оценка эффективности». Сохранена цикличность процесса работы по структуре менеджмента риска. Наименования блоков сокращены и упрощены.

Процесс. Блок подвергся минимальным изменениям. Первая группа процессов в предыдущей версии стандарта называлась «определение ситуации (контекста)», в новой редакции она называется «область применения, среда и критерии». По мнению авторов, этап целеполагания должен быть выделен из этой группы в силу своей критической важности.

В новой версии стандарта все так же подчеркивается итеративный и циклический характер процессов риск-менедж- мента и то, что процессы риск-менеджмента должны существовать в трех средах: мониторинга и пересмотра процессов управления рисками, постоянных консультаций со стейкхолдерами организации и документирования и отчетности (этот элемент в предыдущей версии стандарта отсутствовал).

1. Ввод нового стандарта в действие и детальный анализ изменений

Цель настоящей работы авторы статьи видят в проведении анализа изменений не только терминологического аппарата стандарта ГОСТ Р 31000-2019 по сравнению со стандартом ГОСТ Р ИСО 31000-2010, но и ряда принципиальных положений, в том числе путем обращения к первоисточнику – оригинальным версиям «родительских» стандартов ISO 31000:2018 и ISO 31000:2009, то есть трансформации принципов и методологии менеджмента рисков, что представляет безусловную ценность для использования на практике.

В настоящее время на смену утвержденному приказом Росстандарта от 21.12.2010 № 883-ст ГОСТ Р ИСО 31000-2010 «Национальный стандарт Российской Федерации. Менеджмент риска. Принципы и руководство» (далее – стандарт ГОСТ Р ИСО 31000-2010), являющемуся переводом стандарта ISO 31000:2009, приходит утвержденный приказом Росстандарта от 10.12.2019 № 1379-ст новый стандарт ГОСТ Р ИСО 31000-2019 «Национальный стандарт Российской Федерации. Менеджмент риска. Принципы и руководство» (далее – стандарт ГОСТ Р ИСО 31000-2019). Стандарт также является переводом международного стандарта ISO 31000:2018. Risk management – Guidelines (далее – стандарт ISO 31000:2018), разработанного Техническим комитетом ISO/TC 262.

Необходимо отметить, что на момент подготовки настоящей статьи действовали такие стандарты, как ГОСТ Р 58771-2019 «Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска» (утвержден и введен в действие приказом Росстандарта от 17.12.2019 № 1405-ст), ГОСТ Р 51897-2011 / Руководство ИСО 73:2009 «Национальный стандарт Российской Федерации. Менедж- мент риска. Термины и определения» (утвержден и введен в действие приказом Росстандарта от 16.11.2011 № 548-ст), являющиеся переводами одноименных стандартов ISO, однако следует признать, что именно стандарт ГОСТ Р ИСО 31000-2019 является методологическим ядром построения системы управления рисками в рамках национального регулирования.

2. Понятия и термины

Следует обратить внимание на трансформацию понятийного и терминологического аппарата в стандартах.

Раскрытие терминов, применяемых в стандарте, осуществлено в разделе 3 «Термины и определения» версии стандарта ГОСТ Р ИСО 31000-2019. Раздел содержит 9 определений терминов вместо 29, отраженных в стандарте ГОСТ Р ИСО 31000-2010. Авторами был проведен анализ указанных терминов, в том числе в сопоставлении их с определениями в оригинальных стандартах ISO 31000:2018 и ISO 31000:2009.

Девять определений в стандарте ISO 31000:2018 представлены в отношении следующих терминов (пункты 3.1–3.8.1):

• риск (risk);
• менеджмент риска (risk management);
• источник риска (risk source);
• причастная (заинтересованная) сторона (stakeholder);
• событие (event);
• последствие (consequence);
• правдоподобность (появления события) (likelihood);
• управление (риском) (control);
• сравнительная оценка риска (risk evaluation).

Во все 9 определений внесены изменения в ГОСТ Р ИСО 31000-2019 по сравнению со стандартом ГОСТ Р ИСО 31000-2010, однако по 5 терминам не было внесено никаких изменений в международном стандарте ISO 31000:2018 по сравнению со ISO 31000:2009 (без учета примечаний), в частности к ним относятся: risk, risk management, stakeholder, consequence, likelihood, что, по-видимому, связано с изменением подхода к переводу текста на русский язык разработчиками. Также в стандарте ГОСТ Р ИСО 31000-2019 по отношению к стандарту ISO 31000:2018 дополнительно дано определение термину «неопределенность» (uncertainty).

По мнению авторов, ключевыми методическими особенностями изменений применяемых понятий являются следующие.

Изменение базового термина «риск-менеджмент» на «менеджмент риска». Если в первом случае исходя из формулировки субъективно, на взгляд авторов, можно допустить трактовку риск-менеджмента как осуществление управленческой деятельности в условиях риска, то вторая формулировка такую возможность несколько ограничивает, четко очерчивая объект управления.

В самом определении в версии стандарта ГОСТ Р ИСО 31000-2019 говорится о воздействии влияния неопределенности на достижение поставленных целей, однако в тексте стандарта ISO 31000:2018 словосочетание «достижение поставленных» не используется. Таким образом, можно сделать вывод, что версия перевода термина, представленная в стандарте ГОСТ Р ИСО 31000-2010, является более приближенной к стандарту ISO 31000:2018. Следует отметить, что риски могут воздействовать не только на достижение поставленных целей, но и на саму формулировку цели (особенно если речь идет о трактовке риска в позитивном ключе – как возможности), однако в то же время следует принять во внимание и чрезвычайно высокую значимость процесса постановки цели для менеджмента риска, что подчеркивается переводом актуальной версии стандарта.

Введение термина «причастная сторона» является новацией нового российского стандарта ГОСТ Р ИСО 31000-2019 и требует дополнительного смыслового терминологического разбора и сопоставления с термином «заинтересованная сторона» для установления или опровержения синонимичности понятий. Важным, на наш взгляд, здесь является понятие «интерес», которое может быть раскрыто как положительно окрашенный эмоциональный процесс, связанный с потребностью узнать что-то новое об объекте интереса, повышенным вниманием к нему. Поэтому «заинтересованность» так или иначе носит больше активный характер, а «причастность» может быть выражена и в пассивных формах своего проявления, но не следует при этом путать ее с «пассивным безразличием». Причастность может выражаться и в осознанном бездействии субъекта.

В части определения источника риска (risk source), представленного в стандарте ГОСТ Р ИСО 31000-2019, по сравнению со стандартом ISO 31000:2018 в его переводе на русский язык отсутствует значимое примечание о том, что источником риска также может быть и событие.

В части определения события (event) в стандарте ГОСТ Р ИСО 31000-2019 опущено примечание о том, что событие помимо нескольких причин возникновения может иметь не одно, а несколько последствий его завершения (что также является нововведением стандарта ISO 31000:2018).

В части термина «контроль риска» (control) в стандарте ISO 31000:2018 добавлена возможность поддержания риска в актуальном состоянии как одна из составляющих процесса контроля риска. Данный аспект в ГОСТ Р ИСО 31000-2019 не учтен.

В отношении определения термина «последствия» версии стандарта ГОСТ Р ИСО 31000-2019 отсутствуют два значимых аспекта, присутствующих в примечаниях к термину в стандарте ISO 31000:2018, в частности о том, что последствия могут влиять на цели прямо или косвенно, а также о возможности наличия кумулятивного эффекта наряду с каскадным в отношении результата последствий.

Из оставшихся 20 терминов, ранее присутствовавших в разделе стандарта «Термины и определения» в версии ISO 31000:2009, бóльшая часть (17) контекстуально раскрывается в последующих разделах, при этом по тексту не используются 2 ранее применяемых термина:

– отношение к риску (risk attitude);

– профиль риска (risk profile).

Отдельно следует остановиться на термине «уровень риска» (risk level), ранее присутствовавшем в стандарте ГОСТ Р ИСО 31000-2010. Он отсутствует в стандарте ГОСТ Р ИСО 31000-2019 и при этом применяется в стандарте без раскрытия его сущности, что, на наш взгляд, является недостатком новой редакции российского стандарта. Тем не менее следует отметить, что понятие присутствует в действующем на момент подготовки настоящей статьи Национальном стандарте Российской Федерации «Менеджмент риска. Термины и определения ГОСТ Р 51897-2011/Руководство ИСО 73:2009», утвержденном приказом Росстандарта от 16.11.2011 № 548-ст, в соответствии с п. 3.6.1.8 которого уровень риска (level of risk) – это мера риска или комбинации нескольких видов риска, характеризуемая последствиями и их правдоподобностью/вероятностью.

К 17 терминам, не включенным в раздел «Термины и определения» стандарта ГОСТ Р ИСО 31000-2019, относятся: оценка риска (risk assessment), оценивание риска (risk evaluation), инфраструктура менеджмента риска (risk management framework), идентификация риска (risk identification), анализ риска (risk analysis), воздействие на риск (risk treatment), мониторинг (monitoring), пересмотр (review), остаточный риск (residual risk), критерии риска (risk criteria), внешняя ситуация (контекст) (external context), установление ситуации (контекста) (establishing the context), владелец риска (risk owner), процесс менеджмента риска (risk management process), план менеджмента риска (risk management plan), обмен информацией и консультирование (communication and consultation), политика менеджмента риска (risk management policy).

Ключевыми особенностями изменений применяемых понятий являются следующие.

Термин «план менеджмента риска» (risk management plan) по тексту стандарта ГОСТ Р ИСО 31000-2019 также не используется, однако в качестве инструмента внедрения менеджмента риска предполагается использование «планов, определяющих необходимое время и ресурсы». Таким образом, снято ограничение на включение мероприятий по внедрению инфраструктуры менеджмента риска исключительно в документ, названный как «план менеджмента-риска». Между тем в соответствии с требованиями стандарта ГОСТ Р ИСО 31000-2010 предусмотрено, что альтернативный ему документ должен также включать описание подхода, компонентов и ресурсов менеджмента риска. Данное изменение в целом соответствует изменению подхода к планам менедж- мента риска в ISO 31000:2018.

В цель анализа риска (risk analysis) добавлено понимание его характеристик, а понимание уровня риска вынесено в качестве необязательного элемента.

В стандарте ГОСТ Р ИСО 31000-2019 не используются раздельно термины «мониторинг» (monitoring) и «пересмотр» (review). Раскрытие терминов по тексту стандарта упрощено через описание их элементов, включающих планирование, сбор и анализ информации, документирование результатов и предоставление обратной связи.

«Критерии риска» (risk criteria) – в стандарте ГОСТ Р ИСО 31000-2019 критерии риска должны позволять выделять не только значимость риска, но и его тип и масштабы (величину, размер), кроме того, изменен набор факторов, которые необходимо учитывать при определении критериев риска. Также в отношении данного термина следует выделить следующий, на наш взгляд, недочет перевода оригинального стандарта. В отношении фактора «способ определения и оценки последствий (как положительных, так и отрицательных) и их вероятность», который необходимо учитывать при определении риска, вероятно, допущена ошибка технического характера, в частности ближе по смысловому значению к стандарту ISO 31000:2018 была бы формулировка «способ определения и оценки последствий (как положительных, так и отрицательных) и их правдоподобности» (с учетом перевода термина likelihood в разделе 3 стандарта).

Термин «среда» (context) ранее в рамках стандарта ГОСТ Р ИСО 31000-2010 переводился как «контекст» или «ситуация». В связи с представленным изменением изменились и связанные термины, например «внешняя среда» (external context) и «внутренняя среда» (internal context), а также «определение среды» (ранее – «установление контекста»). Аналогично изменился перевод термина «оценивание риска» (risk evaluation) на «сравнительную оценку риска», «воздействие на риск» (risk treatment) – на «обработку риска», термин «инфраструктура менеджмента риска» (risk management framework) в версии стандарта ГОСТ Р ИСО 31000-2018 переименован в «структуру менеджмента риска».

В определение процесса менеджмента риска (risk management process) добавлен такой элемент, как документирование рисков и подготовка отчетности.

Следует отметить, что здесь и далее по тексту стандарта ISO 31000:2018 используется термин reporting, значение которого предполагает в ряде случаев не только подготовку, но и предоставление подготовленной отчетности (в том числе для последующего проведения анализа). По тексту стандарта ГОСТ Р ИСО 31000-2019 используется словосочетание «подготовка отчетности», за исключением пункта 6.7 в части упоминания форм подготовки и способа предоставления отчетности. На наш взгляд, во всех случаях применения словосочетания «подготовка отчетности» следует также дополнить его словами «и ее предоставление».

В отношении термина «политика менеджмента риска» снято ограничение на форму для отражения общих намерений, направлений деятельности организации в отношении менеджмента риска именно в части их размещения в политике менеджмента риска.

В новой версии исчезло понятие «остаточный риск». Исключение этого термина из списка совершенно переворачивает существующие процессы риск-менеджмента во многих компаниях, меняя устоявшийся подход. Ранее философия работы с рисками, если можно так выразиться, зиждилась на том, что неопределенность нельзя полностью исключить, но можно и нужно постоянно уменьшать. Соответственно, работа с неопределенностью заключалась в циклической идентификации ее (неопределенности) проявлений через риски, точнее – рисковые события («риск есть влияние неопределенности на цели»), и попытках снизить/уменьшить возможные риски, контролируя «остаточные риски» [Сидоренко и др., 2016]. Такое представление, такая философия работы с рисками являлась одним из драйверов, обеспечивающих цикличность и непрерывность работы системы риск-менедж- мента в организации. Отсутствие термина и его определения в новом стандарте в некоторой степени смещает акценты, и существует опасность в восприятии менеджментом компании риска как относительно статичного феномена, в моменте полностью устранимого (что категорически неверно).

В табл. 1 приведены сводные сведения о соотношениях терминов и определений, приведенных в стандартах ГОСТ Р ИСО 31000-2010 и ГОСТ Р ИСО 31000-2019.

Применяя стандарт ГОСТ Р ИСО 31000-2019, организация имеет возможность выстроить эффективный и непрерывный процесс управления рисками. Наглядное представление элементов процесса и взаимосвязи между блоками приведены в схеме, отраженной на рис. 1 стандарта «Принципы, структура и процесс». Далее на рис. 2–4 приведена детализация по упомянутым блокам. Рассмотрим каждый блок указанной схемы по отдельности, а затем обратимся к взаимосвязям между ними.

3. Принципы

Первый блок элементов включает принципы, устанавливающие характеристики эффективного и результативного менеджмента риска, отражающие его ценности и объясняющие его назначение и цель. Ключевые изменения состава блока представлены на рис. 1.

В табл. 2 приведено соотношение элементов блока в версиях стандартов на русском и английском языках. Формирование таблицы позволило осуществить сопоставление элементов блока и выделить их изменения.

Схема, приведенная в стандарте ГОСТ Р ИСО 31000-2019, существенно упрощена по сравнению с предыдущей версией стандарта и подчеркивает равную значимость каждого принципа за счет представления в виде секторов единого размера, сокращения их наименований.

Тот факт, что в обновленной версии блок «Создание и защита ценности» (ранее – «Создает ценность») стал центральным, а не равнозначным элементом, весьма примечателен: фактически создание и защита ценности в новой редакции стандарта объявляется целью риск-менеджмента. Представление о деятельности коммерческой организации сильно трансформировалось за последние десятилетия и ушло довольно далеко от примитивного представления о компании как о средстве по извлечению прибыли из окружающего мира. Современный взгляд на бизнес определяет компанию как структуру по поставке (или производству, но все равно – дальнейшей поставке) ценности клиентам. Ситуация в менеджменте такова, что если будет поставка ценности, будет и ее монетизация (прибыль), и выгода для акционеров (повышение стоимости). И стандарт ISO 31000:2018 предлагает рассматривать риск-менеджмент как важнейшую часть общего процесса создания и поставки ценности компанией, метя в центр управленческих дисциплин. В отношении функционирования органов государственной власти вопрос поиска и определения ценности усложняется тем, что речь идет о больших и сверхбольших системах, где необходимо устанавливать правила и поддерживать общественные блага для максимально широких слоев населения и бизнеса. И здесь, конечно, встраивание риск-менеджмента в общие управленческие процессы является нетривиальной задачей, несущей в то же время огромные потенциальные выгоды.

Мы видим необходимость оценить изменения в содержании принципов и их составе.

Интегрированность. В прежней версии стандарта вместо весьма расплывчатой формулировки: «Интегрированный риск-менеджмент является неотъемлемой частью всей деятельности организации» – говорилось о том, что: «Риск-менеджмент является неотъемлемой частью всех организационных процессов», – что, по сути, означало, что те или иные бизнес-процессы сами по себе становятся факторами рисков, что давало риск-менеджеру явную подсказку при идентификации рисков.

Структурированность и комплексность. На взгляд авторов, перевод англоязычного термина comprehensive как комплексный не является вполне удачным. Здесь comprehensive означает, скорее, всеобъемлющий, что подразумевает, что без менеджмента риска эффективная и результативная деятельность организации не представляется возможной.

Следует обратить внимание, что из описания четвертого принципа – вовлеченность – обоснованно исчезло требование прозрачности (transparency). С одной стороны, в процессы риск-менеджмента должны быть вовлечены так или иначе все стейкхолдеры организации (перевод этого термина как «причастные стороны», на взгляд авторов, также не вполне удачен), с другой – в результате реализации мероприятий управления рисками может возникать информация, представляющая собой коммерческую тайну. Более того, определенная информация по менеджменту риска должна быть информацией для служебного пользования и внутри организации, в противном случае, например, такой инструмент идентификации рисков, как перекрестные интервью, лишается результативности.

Динамичность. Следует отметить, что при расшифровке этого принципа исчезло упоминание итеративности процессов риск-менеджмента. Связано это, скорее всего, с тем, что в новой версии стандарта отсутствует понятие остаточного риска. Авторам этой статьи все же представляется необходимым проведение анализа и сравнительной оценки рисков, которые оказалось невозможно устранить после гипотетического исполнения всех запланированных мероприятий по «обработке рисков». Более того, известно, что мероприятия по «обработке риска» могут повлечь возникновение новых рисков, усиление иных рисков, не подвергшихся «обработке», поэтому думается, что прямая отсылка к итеративности процессов риск-менеджмента была бы полезна и в новой версии стандарта.

Базирование на наилучшей информации. В данном случае, принимая во внимание практическую сторону реализации принципа, необходимо иметь в виду возможность возникновения конфликтов интересов между лицом, ответственным за управление рисками, и иными стейкхолдерами и наличие обусловленных этим фактом барьеров к получению необходимой информации.

Учет поведенческих и культурных факторов. Формулировка и определение принципа в тексте стандарта ГОСТ Р ИСО 31000-2019 полностью совпадают с представленными в версии стандарта ГОСТ Р ИСО 31000-2010 и являются понятными и в достаточной степени полными.

При схожести формулировки принципа непрерывного улучшения с представленной в прежней версии, на взгляд авторов, в версии ГОСТ Р ИСО 31000-2010 этот принцип кайдзен был раскрыт более глубоко и имел более прикладной характер. «Риск-менеджмент способствует постоянному улучшению организации» – вот прежняя формулировка этого принципа. То есть если риск-менеджмент не способствует постоянному повышению результативности и эффективности деятельности организации, то это не риск-менеджмент. Новая же формулировка провозглашает риск-менеджмент как некую «вещь в себе», которая должна постоянно улучшаться.

В новом стандарте исключены такие принципы (по сравнению со стандартом ГОСТ Р ИСО 31000-2010), как рассмотрение риск-менеджментом исключительно неопределенности (или наличие явной связи риск-менеджмента с неопределенностью) и включение риск-менеджмента в процесс принятия решений. Исключение последних двух принципов из современной версии стандарта, на взгляд авторов, нецелесообразно в первую очередь с практической точки зрения.

Риск-менеджмент имеет дело исключительно с неопределенностью. При работе с реестром рисков ответственными лицами достаточно часто допускаются ошибки неправильной идентификации рисков, что вполне объяснимо в силу чисто психологических причин: человек относит к рискам не событие или условие, подпадающее под действие стандарта, а то, чего он более всего боится. Поэтому в реестр рисков достаточно часто попадают ограничения, то есть негативные условия, которые уже имеют место, или негативные события, вероятность реализации которых крайне высока и на которые практически невозможно повлиять. Они отражаются в реестре c использованием, например, формулировок «недостаточное финансирование» или «отсутствие квалифицированного персонала». Сохранение принципа могло бы в некоторой степени уменьшить вероятность совершения указанных методологических ошибок.

И, наконец, риск-менеджмент является частью процесса принятия решений. Нам представляется, что если бы этот принцип остался в обновленной версии стандарта, то он бы был великолепным напоминаниям всем топ-менеджерам организаций, что при принятии ключевых управленческих решений они обязаны учитывать риски.

4. Структура

На рис. 2 приведены ключевые изменения блока «Структура».

Соотношение наименований элементов блока «Структура», представленных на схеме (с учетом наименований, приведенных в оригинальных стандартах на английском языке), отражено в табл. 3.

В отношении структуры менеджмента риска необходимо обратить внимание на изменение перевода термина «структура менеджмента риска» (risk management framework) по сравнению со стандартом ГОСТ Р ИСО 31000-2010: ранее он переводился как «инфраструктура риск-менеджмента».

В настоящей схеме «лидерство и приверженность» являются центральным элементом структуры, остальные элементы благодаря равному размеру отображения также представлены равнозначными друг другу. Кроме того, добавлен новый элемент структуры – «адаптация». Блок «Мониторинг и анализ инфраструктуры» заменен блоком «Оценка эффективности». Сохранена цикличность процесса работы по структуре менеджмента риска. Наименования блоков сокращены и упрощены. Описание блоков приведено в разделе 5 стандарта ГОСТ Р ИСО 31000-2019.

По мнению авторов, цикл работы по инфраструктуре менеджмента является частным случаем реализации цикла Деминга – Шухарта, предполагающего в своей структуре планирование (Plan) (в том числе постановку целей и определение ресурсов на их достижение), выполнение того, что было запланировано (Do), мониторинг и оценку достижения поставленных целей (Check), выполнение мероприятий по улучшению результатов деятельности (Act):

Plan – проектирование и разработка;

Do – внедрение;

Check – оценка эффективности;

Act – улучшение.

При этом новый элемент «адаптация», как полагают авторы, обеспечивает соответствие и взаимную интеграцию системы управления и процессов организации в системе менеджмента риска.

Никоим образом не умаляя значимости информации, представленной в этом разделе стандарта ГОСТ Р ИСО 31000-2019, авторы хотели бы обратить внимание на некоторую размытость формулировок весьма важных с практической точки зрения положений, которые в прежней версии стандарта были изложены более определенно. Суть значения англоязычного термина framework – основа (вне зависимости от перевода), то есть это набор организационных компонентов, который помогает успешной интеграции риск-менеджмента в деятельность организации.

Термин «лидерство» в современном управленческом словаре является размытым и отчасти дискредитирован. Таким образом, размещение его в центре описания основы области знания, относящейся по большому счету к профессиональной деятельности (hard management skills), на взгляд авторов, не вполне корректно. Тем более что расшифровка этого термина включает в себя:

– 5 пунктов пояснений к пониманию терминов «лидерство» и «приверженность»;

– 6 конкурентных преимуществ, которые получает организация при реализации принципов лидерства и приверженности в отношении менеджмента риска;

– 5 групп ожиданий и требований со стороны контрольно-надзорных органов по отношению к организации в области управления рисками.

Вместе с тем сама схема инфраструктуры риск-менедж- мента, приведенная в тексте стандарта ГОСТ Р ИСО 31000-2010, несмотря на определенную визуальную громоздкость, указывала на «организационные компоненты», лежащие в основе эффективного риск-менеджмента:

1) без понимания внутренней и внешней среды (контекс- та), в которой действует организация, осуществление риск-менеджмента невозможно;

2) стандарт риск-менеджмента является универсальным, применимым к любой организации любого масштаба и любой формы собственности, поэтому в нем невозможно не только описать конкретные процессы, но и даже дать исчерпывающий список необходимых документов и отчетов. Однако один-единственный документ стандарт считает обязательным – политику в области управления рисками – своего рода декларацию о намерениях в этой области;

3) стандартом утверждено, что информация по управлению рисками должна быть включена в корпоративную отчетность (отчетность организации), не фокусируясь на том, как это должно быть сделано;

4) обоснованно акцентируется внимание на тезисе о необходимости интеграции риск-менеджмента во все организационные процессы;

5) постулируется необходимость выделения ресурсов необходимого качества (прежде всего человеческих) для осуществления риск-менеджмента в организации. На практике зачастую на роли, так или иначе связанные с управлением рисками, персонал назначается по остаточному принципу;

6) постулируется необходимость установления общих правил и механизма сбора и обмена информацией внутри организации (для обеспечения выполнения принципа базирования на наилучшей информации);

7) постулируется необходимость установления общих правил и механизма сбора и обмена информацией с внешними стейкхолдерами организации (для обеспечения выполнения принципа базирования на наилучшей информации).

Далее утверждалось, что стартовой позицией и основой для реализации этих компонентов является распределение полномочий и ответственности (в тексте стандарта ГОСТ Р ИСО 31000-2010 – обязательств). Присутствие этого пункта в схеме позволяло сразу обеспечить распределение полномочий в области риск-менеджмента между генеральным директором, риск-менеджером, функциональными руководителями, собственниками и иными сторонами (в отношении коммерческой организации).

Необходимо также отметить, что термин commitment в предыдущей версии стандарта переводился как обязательство, а в новой – как вовлеченность. С позиции авторов, и та и другая трактовки имеют чрезвычайно высокую значимость. С одной стороны, риск-менеджмент должен предус- матривать четкое распределение полномочий (взятых на себя обязательств), с другой – в управление рисками в организации должны быть вовлечены все ступени иерархической лестницы, начиная от специалиста низового звена и заканчивая лицом, ответственным за принятие управленческих решений самого высокого уровня [Цакаев, Саидов, 2020].

5. Процесс менеджмента риска

Ключевые изменения блока «Процесс» представлены на рис. 3.

Указанный блок визуально подвергся минимальным изменениям. Однако если первая группа процессов в предыдущей версии стандарта называлась «Определение ситуации (контекста)», то в современной редакции она называется «Область применения, среда и критерии». При этом, вспоминая данное в стандарте определение риска как следствие влияния неопределенности на достижение поставленных целей, мы должны подчеркнуть, что без правильного целеполагания весь риск-менеджмент лишается смысла, поэтому, по мнению авторов, этап целеполагания должен быть выделен из группы «Область применения, среда и критерии».

В новой версии стандарта подчеркивается итеративный и циклический характер процессов риск-менеджмента (что было очевидно и в предыдущей версии), а также то, что процессы риск-менеджмента должны существовать в трех средах: мониторинга и пересмотра процессов управления рисками, постоянных консультаций со стейкхолдерами организации и документирования и отчетности. Последний элемент в рамках процесса менеджмента риска в предыдущей версии стандарта отсутствовал. Его включение в новую редакцию видится авторам обоснованным.

На основании анализа изменений в схеме процесса менеджмента риска (рис. 3) авторы полагают возможным выделить следующие основные этапы процесса менеджмента риска:

1. Установление целей риск-менеджмента на основании декомпозиции целей организации и ее подразделений.
2. Определение критериев риска (установить, что считать риском для организации).
3. Идентификация риска (найти, распознать и описать риск).
4. Анализ риска (понять природу риска и его характеристики, причины и последствия его возможной реализации). Постараться определить уровень риска. На этом этапе, как правило, появляется драфт списка возможных мероприятий по «обработке риска».
5. Сравнительная оценка риска (сравнить результаты анализа риска с установленными критериями риска, определить, где требуются дополнительные действия). На этом этапе осуществляется выбор мероприятий по «обработке риска» из предыдущего списка.
6. Подготовка плана обработки риска (выбор окончательного варианта «обработки риска» и документирование этого варианта).
7. Реализация плана «обработки риска» (своевременно и адекватно реагировать на риски).

6. Общая схема риск-менеджмента

Взаимосвязи между блоками центральной схемы стандарта ГОСТ Р ИСО 31000-2019 представлены на рис. 4.

Изменения во взаимосвязях между блоками схемы предполагают распространение принципов менеджмента риска как на весь его процесс, так и на всю структуру менеджмента риска.

В предыдущей версии стандарта схематично предполагалось распространение принципов на структуру исключительно посредством элемента структуры «полномочие и обязательство», взаимосвязь принципов с процессом отсутствовала, а взаимосвязь между структурой и процессом, вероятно, подразумевалась за счет элемента структуры «применение риск-менеджмента».

7. Заключение и выводы

Проведенный анализ положений анализируемых документов с учетом, в частности, международных стандартов семейства ISO 31000 позволил выделить и оценить особенности нового стандарта ГОСТ Р ИСО 31000-2019 и его первоисточника.

По мнению авторов статьи, в ходе разработки стандарта ISO 31000:2018 достигнуто решение в том числе следующих задач:

• уменьшение объема текстового содержания стандарта, в частности за счет исключения определений контекстуально понятных терминов из соответствующего раздела (например, «процесс менеджмента риска», «мониторинг и пересмотр», «анализ риска»);
• обеспечение повышения гибкости в действиях организации при создании и поддержании системы риск-менеджмента при использовании стандарта [Цакаев, Саидов, 2020];
• уточнение и дополнение отдельных терминов стандарта с целью улучшения их понимания (например, это относится к понятию «риск» и примечаний к нему; в части удержания риска в заданном состоянии; подчеркнутой выдержанности в демонстрации того, что риск может быть связан не только с негативным, но и позитивным влиянием неопределенности на цели организации, а также одновременно с двумя этими эффектами).

Новая версия стандарта обладает большей гибкостью применения, а также более доступной визуальной составляющей (применяемых по тексту блок-схем), однако имеет ряд особенностей по сравнению с предыдущей версией стандарта, оцениваемых авторами неоднозначно с практической и политической точек зрения, в частности исключение термина «остаточный риск» из соответствующего раздела, исключение важных с практической точки зрения принципов «Риск-менеджмент имеет дело исключительно с неопределенностью» и «Риск-менеджмент является частью процесса принятия решений».

Важно также еще раз обратить внимание на предложение авторов по выделению целеполагания в области риск-менеджмента в схеме процесса менеджмента риска как самостоятельного блока наряду с блоком «Область применения, среда и критерии».

Анализ трансформации понятийного аппарата в стандарте ГОСТ Р ИСО 31000-2019 позволил заключить, что значительная часть терминологических изменений новой редакции стандарта по сравнению со стандартом ГОСТ Р ИСО 31000-2010 связана с изменением перевода ключевых терминов на русский язык в новой версии стандарта. При возникновении необходимости у организации, ранее руководствовавшейся требованиями ГОСТ Р ИСО 31000-2010, в приведении деятельности по управлению рисками в соответствие стандарту ГОСТ Р ИСО 31000-2019 целесообразно также использовать сравнение с его первоисточником – стандартом ISO 31000:2018 и (или) настоящую статью, что позволит избежать излишнего создания новых элементов управления риском на предприятии за счет преобразования уже существующих.

Следует отметить проведение значительной работы в части перевода на русский язык англоязычной версии стандарта с устранением ряда неточностей, допущенных при переводе стандарта ISO 31000:2010. Тем не менее, по мнению авторов, утвержденный перевод стандарта ГОСТ Р ИСО 31000-2019 на русский язык может быть рекомендован к дополнению в части неучтенных ранее отдельных примечаний оригинального стандарта ISO 31000:2018, к пересмотру ряда примечаний к терминам и отдельных применяемых формулировок в определениях с точки зрения обеспечения более полного и точного соответствия стандарту ISO 31000:2018 (табл. 4).

Необходимо отметить, что на практике менеджмент риска в организации рассчитан в первую очередь на предотвращение угроз ее функционированию, которые возникают или могут возникнуть в будущем, и во вторую – на вероятные возможности, которые позволят улучшить результаты деятельности компании, повысить ее эффективность в целом или в части отдельных процессов. В любом случае для коммерческой организации внедрение менеджмента рисков должно вести к положительным финансовым последствиям, а для бюджетной – к более результативному и эффективному достижению установленных показателей деятельности.

Следует помнить, что риски могут быть связаны как с внутренними процессами организации (например, с неверной организацией маркетинга или ошибками сотрудников), так и с внешними условиями (например, с инфляцией или политической обстановкой), то есть с внутренней и внешней средой или контекстом [Брыкалов, Трифонов, 2020].

Угрозы и возможности, а вернее – их оценка с учетом вероятности реализации и последствий (п. 6.4 стандарта), должны всегда находиться во внимании компетентных сотрудников (обладающих необходимыми навыками, знаниями и полномочиями); перечень угроз и возможностей (как правило, этот документ имеет название «реестр рисков») должен регулярно пересматриваться. Указанные сотрудники должны вести не только перечень рисков, но и, по возможности, в оперативном режиме на основе актуальных данных осуществлять мониторинг динамики вероятности их наступления (например, на основании сведений о текущем финансовом состоянии организации, информации о ежедневном объеме реализованной продукции) [Опарин, 2016].

В целях своевременного предотвращения или реагирования на угрозы, а также реализации возможностей в отношении каждого риска должен быть применен алгоритм стандарта по их обработке (п. 6.5 стандарта), в частности необходимо выбрать способ обработки (например, устранить причину, уменьшить вероятность, защититься от последствий, ничего не предпринимать в отношении риска, отказаться от действий по увеличению вероятности риска), запланировать и выполнить (в том числе при возникновении необходимости) соответствующие мероприятия (например, закупку нового оборудования, формирование финансового или продуктового резерва, реорганизацию производства). В обязательном порядке во внимание должны приниматься «остаточные риски», с которыми также необходимо осуществлять работу, аналогичную названной, вплоть до их устранения или ответственного принятия.

Результаты оценки риска, планирования и реализации мероприятий (или результаты, связанные с их отсутствием) должны документироваться и регулярно оцениваться. Соответствующие отчеты должны доводиться до уполномоченных лиц, которые в свою очередь должны принимать решения с учетом доведенных сведений и при необходимости использовать дополнительную информацию.

Поскольку угрозы и возможности могут быть реализованы на любом из уровней функционирования организации (в частности, на операционном, процессном, управленческом), как и причины их возникновения (например, остановка продаж продукции, ведущая к конфликту с контрагентом, произошедшая в результате сбоя в работе оборудования), перечень рисков, выработка необходимых мероприятий, оценка их реализации должны охватывать все эти уровни – от общеорганизационных целей (их планирования и контроля достижения) до деятельности каждого конкретного сотрудника (группы сотрудников со схожими должностными обязанностями) – и базироваться в том числе на результатах оценки внешней и внутренней среды (контекста). Для успешной работы с рисками необходимо наладить процессы обмена релевантной информацией (в том числе в части консультирования), установить права доступа к ней, обеспечивающие сохранение коммерческой тайны и защиту неприкосновенности частной жизни.

Алгоритмы, правила, объем ресурсов процесса риск-менеджмента, полномочия участников процесса, закрепленные в документации (все этапы процесса подлежат регламентации) и фактически реализуемые, должны регулярно оцениваться с точки зрения повышения эффективности и результативности процесса. По итогам оценки должны разрабатываться, планироваться и выполняться мероприятия по улучшению процесса, результаты которых подлежат оценке в следующем цикле.

Также, по мнению авторов, важно отметить, что руководство, а также структурные подразделения организации, деятельность которых заключается в аудите или осуществлении надзора за организационными процессами, должны принимать активное участие в процессе менеджмента риска и всецело поддерживать его развитие, в том числе на основании документально закрепленных полномочий.