Применение стандартов ИСО при реализации риск-менеджмента на предприятиях малого и среднего бизнеса

Вне зависимости от сферы деятельности любое предпринимательство очень тесно связано с понятием риска, иначе говоря, риск - это составляющая коммерческой деятельности.

Риски, с которыми сталкиваются предприниматели могут возникнуть как внутри самого предприятия, так и со стороны внешней среды, окружающей его.

В научной литературе отечественных и зарубежных авторов, можно встретить достаточно много работ [1,2,4 и др.], которые посвящены рискам в предпринимательстве, методам, позволяющим управлять этими рисками и т. п., но несмотря на это, согласно статистическим данным [3], многие из предприятий малого и среднего бизнеса становятся банкротами и вынуждены закрываться в течение пятилетнего периода с момента начала их хозяйственной деятельности. Это обусловлено тем, что предлагаемые подхо- ды к формированию эффективной системы управления риском предприятий являются в большей степени теоретическими, носят общеметодологический характер, не имеют прикладной привязки.

Для помощи малым и средним предприятиям, которые стремятся подготовиться к возможным рискам и защитить свой бизнес, Международная организация по стандартизации (ИСО) разработала сборник руководящих принципов по использованию международного добровольного стандарта на основе консенсуса под названием ИСО 31000:2010 «Менеджмент риска. Принципы и руководство». Сборник включает в себя пять основных разделов: область применения, термины и определения; принципы; инфраструктура; процесс.

Данный сборник распространяется на организации всех видов и типов, в том числе и на деятельность малого и среднего предпринимательства. Однако подчеркивается тот момент, что данные принципы и рекомендации носят общий характер, следовательно, необходимо дополнительно изучать особенности каждого предприятия, выявлять риски, которые непосредственно относятся к нему, а затем уже разрабатывать мероприятия по снижению этих рисков. Разработчики данного стандарта утверждают, что при применении и поддержании в соответствии с настоящим стандартом риск-менеджмент дает возможность организации:

• -    осознавать необходимость идентификации и воздействия на риски по всей организации;

• -    улучшать идентификацию возможностей и угроз;

• -    улучшать управление;

• -    эффективно распределять и использовать ресурсы для воздействия на риск;

• -    повышать функциональную эффективность и результативность;

• -    сводить к минимуму потери;

• -    повышать устойчивость организации и др.

В данной работе отмечено, что руководители многих малых и средних предприятий стремящиеся в той или иной степени управлять рисками, тем не менее, в большинстве своем не рассматривают возможность внедрения стандартов, охватывающих процесс управления рисками. Они объясняют это тем, что их предприятия не являются настолько крупными, чтобы пойти на этот шаг, т. е. не считают его целесообразным.

Ознакомимся более подробно с процессом риск-менеджмента, представленном в данном стандарте (см. рис 1).

Рисунок 1. Процесс риск-менеджмента

Из рисунка следует, что одним из ключевых этапов риск-менеджмента является обмен информацией и консультирование, поскольку он тесно связан со всеми остальными этапами. Таким образом, обмен информацией и консультирование разрабатываются в первую очередь, они должны рассматривать вопросы, которые касаются как самого риска, так и его причин, его последствий. Эффективный обмен информацией позволит подотчетным лицам и заинтересованным сторонам принимать решения, при этом осознавая причины того, почему требуются именно эти действия.

Обмен информацией и консультирование должны способствовать обмену правдивой, существенной, точной и понятной информацией с учетом аспектов конфиденциальности и личной неприкосновенности.

Следующим этапом является определение ситуации, который включает в себя следующие подпункты:

• 1.    установление внешней ситуации;

• 2.    установление внутренней ситуации;

• 3.    установление ситуации процесса менеджмента риска;

• 4.    определение критериев риска.

Первые два подпункта предполагают анализ внешней и внутренней среды предприятия, что же касается третьего подпункта, то он должен включать в себя следующие мероприятия: постановка целей, стратегий, области применения предприятия. При этом следует оценить требуемые ресурсы, определить ответственность и полномочия, а также порядок учета.

Определение критериев риска означает, что критерии используемые для оценки значимости риска, должны отражать цели, ценности и ресурсы предприятия. Они должны быть назначены в начале каждого процесса риск-менеджмента и должны постоянно рассматриваться.

Теперь переходим к самому объёмному и трудоемкому, на наш взгляд, этапу - оценке риска. Первое, что необходимо сделать это провести идентификацию рисков, т.е. компании необходимо выявить весь перечень рисков, основанных на тех или иных событиях, которые могут повышать, понижать, ускорять или замедлять достижение целей. Процесс идентификации является наиболее важным в процессе оценки риска, поскольку риск, который не был идентифицирован на данном этапе, уже не будет включен в будущий анализ. При этом организация должна использовать лишь те инструменты и методы, которые будут соответствовать ее целям и возможностям, а также тем рискам, с которыми она непосредственно сталкивается.

После того, как риск был идентифицирован, необходимо провести его анализ, который предполагает рассмотрение причин и источников риска, а также их положительных и отрицательных последствий, с учетом вероятности возникновения. Анализ может осуществляться с различной степенью подробности, все будет зависеть от самого риска, целей анализа, доступности информации и т. п. Он может быть количественным, качественным или сочетать в себе элементы того и другого.

Вероятность и последствия можно определить с помощью моделирования исходов событий или экстраполяцией имеющихся данных.

Заключительным этапом оценки риска является сам процесс оценивая, который включает сравнение уровня риска выявленного в процессе анализа, с установленными критериями риска во время рассмотрения ситуации. На основании этого будет рассматриваться необходимость воздействия на риск. Однако, в некоторых случаях может потребоваться проведение дополнительного анализа.

Воздействие на риск зачастую включает выбор и применение одного либо двух вариантов модифицирования рисков. Следует подчеркнуть, что альтернативные варианты воздействия на риск не всегда являются взаимоисключающими и подходящими ко всем обстоятельствам. Выделяют следующие варианты воздействия на риск [1]:

• -    избежание риска;

• -    принятие и увеличение риска для использования благоприятной возможности;

• -    устранение источника риска;

• -    изменение возможности;

• -    изменение последствий;

• -    разделение риска с другой стороной (сторонами);

• -    осознанное удержание риска.

После того, как определены отобраны варианты, осуществляется подготовка и реализация планов воздействия на риск. Планы при этом должны обсуждаться с соответствующими заинтересованными сторонами и должны быть включены в процессы менеджмента организации.

Казалось бы, что на данном этапе можно и закончить процесс риск-менеджмента, поскольку основной цели мы достигли, меры по модификации риска выбрали и реализовали, но нет, существует еще один (заключительный) этап - мониторинг и пересмотр, который осуществляется в целях [1]:

• -    гарантии того, что средства управления являются эффективными и результативными как при проектировании, так и при функционировании;

• -    получения дополнительной информации для улучшения оценки риска;

• - анализа и извлечения уроков из случаев;

• -    идентификации новых или зарождающихся рисков

Мониторинг и пересмотр может быть, как периодическим, так и произвольным. Результаты мониторинга и пересмотра должны быть документированы и зарегистрированы соответствующим образом, как на внешнем, так и на внутреннем уровнях, в последствии чего, они могут послужить входными данными для пересмотра инфраструктуры риск-менеджмента.

Как мы видим, процесс риск-менеджмента достаточно сложный, требует детального анализа, постоянного контроля и мониторинга, а следовательно, несет в себе дополнительные издержки. Большая часть средств предприятия тратится на поиск и оплату труда профессиональных оценщиков, поскольку процесс оценки требует особого внимания, в связи с этим представители малого и среднего предпринимательства опасаются использовать риск-менеджмент в своей деятельности.