Причиной возникновения рисков являются неопределенности, существующие в каждом виде деятельности. Риски могут быть "известные" - те, которые определены, оценены и планирование которых возможно. Риски "неизвестные" - те, которые не идентифицированы и не могут быть спрогнозированы. Управление рисками - это процесс, связанный с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий. При этом неизвестные непрогнозируемые риски могут являться причиной наиболее серьезных последствий для предприятия. Согласно основному закону Мэрфи - "Если какая-нибудь неприятность может произойти, она случается", а следствие из этого закона гласит - "Из всех неприятностей произойдет именно та, ущерб от которой больше".
Анализ зарубежной судебной практики показывает, что рассмотрение исков к органам по сертификации является достаточно распространенным событием.
С развитием в Российской Федерации уровня правоотношений и реализации возможности потребителями правовой защиты своих интересов следует рассчитывать на увеличение количества гражданских исков, в том числе и в порядке регресса. Иск к органу по сертификации по причиненному им ущербу заказчикам или третьим лицам и соответствующее судебное решение об удовлетворении этого иска может явиться для органа по сертификации причиной серьезных последствий, так как причиненный ущерб может значительно превысить его финансовые ресурсы, учитывая, как правило, небольшой бюджет этих организаций.
Проблема ответственности органов по сертификации за принимаемые ими решения с созданием системы технического законодательства и национальной системы аккредитации в области оценки соответствия приобретает особую актуальность.
Предметом настоящей статьи является анализ тех возможных рисков причинения ущерба третьим лицам и потребителям услуг по сертификации, которые могут стать причиной судебного разбирательства и удовлетворения исков к органам по сертификации. Анализ проведен на основе исследований зарубежных специалистов в области права и оценки соответствия.
Судебный процесс, завершившийся в 2002 г. окончательным решением апелляционного суда, создал прецедент удовлетворения иска к организации-разработчику стандарта. Для англо-американской или как ее часто называют системой общего права, основанной именно на прецеденте, это решение было чрезвычайно важным и вызвало серию публикаций , в которых проявляется озабоченность Американского национального института стандартов (ANSI) и других организаций, осуществляющих разработку стандартов, так как ранее подобные риски ими не прогнозировались.
Этот процесс, продолжавшийся несколько лет, рассматривал иск Shawn Meneely, который был парализован в результате травмы, полученной им при прыжке с трамплина в бассейн. Shawn Meneely предъявил иск к Национальному институту бассейнов и курортов (NSPI), являющемуся ассоциацией производителей оборудования для бассейнов и основным разработчиком стандартов, устанавливающих требования к безопасности этого оборудования. В ходе судебного разбирательства было установлено, что испытания, организованные NSPI задолго до произошедшего инцидента, показали высокую вероятность получения травмы при пользовании трамплином, изготовленным в соответствии с требованиями стандарта, но NSPI не предпринял никаких действий для его пересмотра. Суд постановил, что NSPI добровольно принимал на себя обязанность проявлять должную осторожность (необходимую осмотрительность) в формулировании требований безопасности при разработке стандартов и предупреждать пользователей относительно возможного риска и нарушал эту обязанность. Иск был удовлетворен на 60% от требуемой Shawn Meneely суммы или в размере 6,6 миллионов долларов. Апелляционный суд поддержал это решение.
В судебной практике США, как правило, не принято пересматривать достоверность стандартов ассоциации, их политики или решений, признавая, что профессионалы в ассоциациях имеют гораздо больший опыт, чем судьи в формулировании и применении промышленных и профессиональных стандартов . Однако процесс Shawn Meneely против NSPI показал, что в своей деятельности органы по сертификации должны рассмотреть все возможные риски причинения ущерба и последующей за наступлением рискового события ответственности.
Возможные риски ответственности
Далее будут рассмотрены возможные риски причинения ущерба третьим лицам и заказчикам сертификации при выполнении органами по сертификации основных функций. Риски причинения ущерба, возникающие вне основной, а вследствие общей хозяйственной деятельности, не являются предметом настоящей статьи.Ответственность перед третьими лицами. В том случае, если пользование сертифицированной продукцией или услугой причинило некоторый ущерб потребителю, последний, кроме предъявления иска ее производителю, может предъявить иск и органу по сертификации. Орган по сертификации может быть признан виновным в причинении ущерба третьему лицу вследствие проявленной им небрежности и несоблюдения должной осторожности (duty of care) или осознанных действий. Осознанные неправомерные действия органа по сертификации при этом могут явиться причиной причинения вреда не только третьим лицам, но и непосредственному заказчику работ по сертификации, и будут рассмотрены ниже.
Тип ответственности из-за несоблюдения должной осторожности подчинен, согласно англо-американскому праву и законодательству многих европейских стран, множеству условий. Лицо (орган по сертификации) будет нести ответственность, только если потерпевшая сторона сможет доказать все элементы ответственности по небрежности:
1)обязанность соблюдения должной осторожности;
2)нарушение этой обязанности;
3)причинно-следственную связь между нарушением обязанности и причиненным ущербом;
4)исчерпывающие доказательства ущерба.
Если не будет доказано наличие всех этих четырех элементов, то не будет установлена ответственность органа по сертификации. В российском гражданском законодательстве также предусмотрена обязательность доказательств этих элементов.
На основании ст. 401 ГК РФ лицо, не исполнившее обязательства либо исполнившее его ненадлежащим образом, несет ответственность при наличии вины. Лицо признается невиновным, если при той степени заботливости и осмотрительности, какая от него требовалась по характеру обязательства и условиям оборота, оно приняло все меры для надлежащего исполнения обязательства.
Обязанность соблюдения должной осторожности. Этот элемент, а именно декларация органа по сертификации о проводимых им работах по оценке соответствия продукции, работ и услуг требованиям нормативных документов не требует особых доказательств и устанавливается по целям и задачам, указанным в уставных документах органа по сертификации.
Нарушение этой обязанности (небрежность). Следующей задачей суда является определение того, мог ли орган по сертификации действовать с разумной осторожностью при проведении процедуры сертификации для предотвращения нарушения этой обязанности и предпринимал ли он для этого все необходимые и известные действия. Если орган по сертификации прошел процедуру аккредитации, имеет документированную систему менеджмента качества, предусматривающую наличие и соблюдение правил управления документацией, персоналом и операционных процедур, следует полагать, что он предпринял все возможные меры для соблюдения обязанности нести должную осторожность. Однако даже в этом случае квалифицированный эксперт может представить суду доказательства того, что орган по сертификации был осведомлен, но не предпринял других действий для предотвращения возможного ущерба.
Причинно-следственная связь. Также должно быть доказано, что истец, приобретая продукцию или услугу, в своем выборе руководствовался тем, что именно сертифицированная продукция или услуга отличает их от прочих, так как они прошли процедуру оценки соответствия третьей стороной, что делает их более безопасными. Таким образом, суду требуется установить, что потребителю был причинен ущерб именно вследствие того, что продукция (услуга) были сертифицированы.
В случае проведения обязательной сертификации доказательств этого элемента не требуется, так как потребитель лишен права выбора.
Доказательства ущерба. Ущерб (физический, финансовый или моральный) должен быть конкретизирован в некотором количественном выражении.
Рассматривая эту совокупность элементов доказательств, следует отметить, что лишь установление факта нарушения обязанности нести должную осторожность может вызвать для суда определенные затруднения. Если орган по сертификации не аккредитован национальным органом по аккредитации, что широко распространено не только за рубежом, но и в России в системах добровольной сертификации, то для суда имеются все основания утверждать, что нарушены требования соблюдения необходимой осторожности.
Ответственность перед заявителем по антимонопольному законодательству
В связи с широко распространенной практикой сертификации профессиональными ассоциациями имеются случаи предъявления иска при отказе в получении сертификата организациям, не являющимися членами этих ассоциаций, по основаниям нарушения антимонопольного законодательства. По мнению специалистов парадоксальность этой ситуации заключается в том, что сертификация сама по себе является средством конкурентной борьбы.Ассоциация как орган по сертификации может нести ответственность согласно антимонопольному законодательству, если истец сможет доказать, что сертификация является существенным условием, чтобы эффективно конкурировать на рынке и что отказ в получении сертификата был результатом использования стандартов или процедур сертификации, не влияющих на их степень доказательности для преимуществ данной системы сертификации. Кроме того, программы сертификации, которые требуют членства в ассоциации, как предпосылки к получению сертификата, также могут являться основанием для применения к органу по сертификации мер, предусмотренных антимонопольным законодательством.
Ответственность перед заявителем в соблюдении процедур
Органы по сертификации должны обеспечить проведение процедур сертификации в точном соответствии с правилами, установленными в системе, и в соответствии со стандартами, которые в системе применяются. Несмотря на то, что необходимость следования процедурам и стандартам, указана в контракте на сертификацию, эти требования, как правило, сформулированы в достаточно общем виде, и требуется проведение специального исследования для доказательства причинения ущерба заказчику именно вследствие нарушения процедур.Например, при идентификации продукции в целях сертификации могут быть допущены ошибки, в результате которых будут применены стандарты, которые устанавливают более жесткие требования, чем те, которые можно было применить для оценки соответствия данной продукции, и в результате будут получены отрицательные результаты, либо заказчику при возможности использования различных схем без достаточных оснований будет предложена схема сертификации, предусматривающая значительно большие затраты, чем остальные.
При этом ущерб заявителю может быть причинен не только в случае отрицательного решения, но и при получении им сертификата. Судом может рассматриваться как причинение ущерба также отсутствие декларируемого органом по сертификации эффекта от проведения сертификации.
Так в Великобритании в 1996 г. состоялся судебный процесс по иску к органу по сертификации систем качества QAS (Quality Assurance Systems Ltd), распространившему рекламу, в которой сообщалось, что предприятия могут получить сертификат соответствия их системы качества требованиям ИСО 9000 в течение 30-60 дней со дня обращения. Несколько предприятий заключили соответствующий контракт и получили разработанное для них руководство по качеству и сертификат соответствия системы качества предприятия требованиям стандарта. При этом менеджеры предприятий обратили внимание, что обзор управления и внутренний аудит в их предприятиях никогда ранее не проводился, хотя ссылки на это в руководстве по качеству имелись, более того, были неверно указаны данные о персонале.
Суд признал QAS виновной в нарушении Закона о торговле (UK Trades Descriptions Act 1968) и QAS была оштрафована, а также была обязана компенсировать предприятиям понесенные затраты по контракту и ущерб.
Нарушение конфиденциальности
Как правило, условиями контракта на сертификацию предусмотрено сохранение конфиденциальности информации, полученной в процессе сертификации. Однако имеются случаи распространения информации, содержащей сведения, которые могут нанести существенный вред заявителю сертификации, его деловой репутации и бизнесу в целом. При этом распространение подобной информации может происходить как случайно, вследствие нарушений органом по сертификации правил процедуры управления документацией, так и осознанно. В обоих случаях при установлении самого факта нарушения конфиденциальности орган по сертификации будет нести ответственность в соответствии с гражданским законодательством вследствие нарушения условий договора, а при наличии умысла в передаче информации возможно применение норм, установленных уголовным законодательством.Методы минимизации рисков
Рассмотренные риски и примеры рисковых событий не являются исчерпывающим перечнем событий, которые могут произойти вследствие осуществления основной деятельности органов по сертификации, однако рекомендуемые ниже методы с известной степенью вероятности могут быть предложены для минимизации всех возможных рисков и потерь, связанных с наступлением рисковых событий, как для зарубежных органов по сертификации, так и для российских.Минимизация рисков в конечном счете должна сводиться к разработке органами по сертификации руководства по качеству и сопутствующих ему документов, содержащих подробное описание всех процедур процессов сертификации в полном соответствии с требованиями ГОСТ Р ИСО/МЭК 65-2000 "Общие требования к органам по сертификации продукции" и безусловное и сознательное следование этим процедурам. Более высокая требовательность органов по аккредитации к качеству этих документов может также иметь решающее значение для минимизации наступления рисковых событий.
Минимизация потерь при предъявлении иска может быть реализована через механизмы страхования ответственности . Следует отметить, что подпункт h п. 4.2 Руководства ИСО/МЭК 65:1996 устанавливает следующее требование к органу по сертификации, а именно, что он "shall have adequate arrangements to cover liabilities arising from its operation and/or activities". Русский перевод этой фразы - "предпримет адекватные меры для покрытия ответственности, являющейся результатом его функционирования и (или) деятельности".
Соблюдение этого требования в зарубежных странах реализуется аккредитующими органами с учетом национального гражданского законодательства. Во многих европейских странах наличие полиса страхования ответственности органов по сертификации и других органов по оценке соответствия является обязательным условием при их аккредитации. В ряде американских аккредитующих органах для органов по сертификации допускается самострахование. Участие органов по сертификации в гарантийных или компенсационных фондах также может приниматься аккредитующими органами ряда стран как выполнение данного требования.
В ГОСТ Р ИСО/МЭК 65-2000 это требование имеет недостаточно точную формулировку: "иметь соответствующие механизмы, обеспечивающие выполнение обязательств, вытекающих из проводимых операций и/или деятельности". Эта формулировка не позволяет российским органам по аккредитации предъявлять объектам аккредитации обоснованные требования по принятию ими мер для покрытия ответственности.
Решение проблемы сведения к минимуму возможных рисков причинения ущерба является общей задачей органов по сертификации и национальных систем аккредитации. Национальные аккредитующие органы, наделенные правительством полномочиями, обязаны обеспечить высокую с епень доверия к аккредитуемым ими объектам.
Аккредитующие органы должны при этом предельно четко сформулировать свои требования, направленные на получение исчерпывающих доказательств того, что орган по сертификации действительно предпринял все действия для минимизации рисков, предпринял меры покрытия ответственности в случае наступления рискового события и имеет достаточную финансовую стабильность и ресурсы. Учитывая добровольность проведения аккредитации эти требования аккредитующего органа должны, безусловно, выполняться аккредитуемым объектом. 1
В статье определена значимость эффективного управления рисками в ситуации, сложившейся на российских предприятиях в период санкций Евросоюза и жесткой конкуренции. Сравнительная характеристика подходов к определению понятия «риск» позволила сформулировать собственное понимание данной категории в менеджменте и определить его экономическую сущность. Соотношение принципов менеджмента качества и принципов риск-менеджмента позволило определить интеграционное ядро этих двух областей системы менеджмента. На основе анализа обзора стандартов и регламентирующих документов по риск-менеджменту выявлено повышение интереса к проблеме управления рисками, которые в большей или меньшей степени стараются решать российские предприятия. Обозначены некоторые аспекты исследуемой проблемы в региональном разрезе посредством анализа деятельности одного из предприятий Республики Мордовия, которое ведет активную работу по реализации принципов и элементов руководства стандарта ISO 31000.
управление рисками
производственные риски
стандарт ИСО 31000
риск-менеджмент
1. Антикризисное управление [Электронный ресурс]. – URL: http://bus.znate.ru.
2. Годовой отчет о деятельности ОАО «Автоваз» [Электронный ресурс]. – URL: http://info.avtovaz.ru/index.php?id=186.
3. ГОСТ Р ИСО/МЭК 31010–2011 «Менеджмент риска. Методы оценки риска» [Электронный ресурс]. – URL: http://ivan-shamaev.ru/wp-content/uploads/2013/05/31010-2011.
4. Информационные ресурсы ОАО «РЖД» [Электронный ресурс]. – URL:http://ir.rzd.ru/static/public/ru?STRUCTURE_ID=32#2.
5. История развития практики и исследований в области управления рисками [Электронный ресурс]. – URL: http://www.moluch.ru/archive/79/13887.
6. Отчет о результатах деятельности Холдинга «Сибур» [Электронный ресурс]. – URL: http://investors.sibur.com/disclosure.aspx?sc_lang=ru-RU.
7. Риск: понятие, классификация, учёт при оценке бизнеса [Электронный ресурс]. – URL: http://edu.dvgups.ru/METDOC/EKMEN/FK/OC_STOIM_PREDPR/METOD/K_L.
8. Стандарт ИСО 9001:2015. Что нас ожидает? [Электронный ресурс]. – URL: http://qualityguild.vniis.ru/file/bulletin-DEFAULT/org.stretto.plugins.bulletin.core.Article.
9. Управленческие решения – Текст лекций (В.Н. Лазарев) [Электронный ресурс]. – URL: http://samorazvitie.net.
В менеджменте понятие «риск» рассматривается как характеристика управленческой деятельности, осуществляемой в ситуации неопределенности вследствие недостаточности информации, при выборе менеджером альтернативного решения, критерий эффективности которого связан с вероятностью проявления негативных условий реализации .
Размер потерь организации как результата деятельности в условиях неопределенности представляет собой цену риска, а величина успеха (дополнительной прибыли) - плату за риск. Риск проявляется в процессе реализации продукции производственно-хозяйственной системы или услуги и выступает одним из конечных результатов деятельности. Характер и содержание риска в деятельности организации позволяют определить экономическую природу риска .
В табл. 1 представлены некоторые подходы к определению категории риска, используемые в практике менеджмента.
Приведенные в табл. 1 определения показывают многоаспектность категории риск и основополагающее ядро его содержания - это соотношение вероятности наступления последствий, которые приводят к отклонению заданных параметров любого процесса от запланированных.
Рассмотрение различных трактовок понятия «риск» и анализ основных характерных черт проявления рисков позволяют сделать вывод о том, что под риском следует понимать потенциально существующую вероятность потери ресурсов или неполучения доходов, связанную с конкретной альтернативой управленческого решения.
Ориентируясь на современное развитие риск-менеджмента, считаем необходимым проанализировать и определить взаимосвязь его принципов с принципами менеджмента качества. Сравнительная характеристика принципов управления рисками и принципов всеобщего управления качеством представлена в табл. 2.
Таблица 1
Подходы к определению понятия «риск»
|
Определение |
Источник |
|
Риск - это мера несоответствия между разными возможными результатами принятия определённых стратегий |
Экономико-математический словарь. |
|
Риск - это возможная потеря, вызванная наступлением случайных неблагоприятных событий |
В.Д. Шапиро |
|
Риск - это возможная опасность потерь, вытекающая из специфики тех или иных явлений природы и видов деятельности человеческого общества |
И.Т. Балабанов |
|
Риск - это влияние неопределенности на цели |
ГОСТ Р ИСО 31000-2010 - «Менеджмент риска. Принципы и руководство» |
|
Риск - это возможная опасность, действие наудачу в надежде на счастливый исход |
Словарь С.И. Ожегова |
|
Риск - это возможность наступления события с отрицательными последствиями в результате определенных действий или решений |
Большой экономический словарь |
|
Риск - сочетание вероятности события и его последствий |
ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» |
Таблица 2
Соотношение принципов менеджмента качества с принципами риск-менеджмента
|
Принципы менеджмента качества |
Принципы риск-менеджмента и его возможности |
|
1. Ориентация на потребителя |
Риск-менеджмент защищает ценность, создаваемую для потребителя |
|
2. Лидерство руководства |
В риск-менеджменте руководство не избегает рисков, а умело управляет ими, добиваясь максимальной эффективности деятельности организации |
|
3. Процессный подход |
Управляя деятельностью организации как системой процессов, необходимо учитывать все виды рисков, создавать все необходимые предпосылки для их локализации и нейтрализации |
|
4. Системный подход |
Риск-менеджмент является неотъемлемой частью всех процессов организации и интегрируется во всю организационную деятельность |
|
5. Вовлечение персонала |
Достижение поставленных задач достигается непосредственно с участием всего персонала в риск-менеджменте |
|
6. Принятие решения, основанного на фактах |
Риск-менеджмент позволяет выявлять наиболее достоверные тенденции, что способствует принятию более эффективных и объективных решений |
|
7. Взаимовыгодные отношения с поставщиками |
Риск-менеджмент делает процесс партнерства более прозрачным и взаимовыгодным |
|
8. Постоянное улучшение |
Риск-менеджмент способствует постоянному улучшению как систем менеджмента качества, так и деятельности организации в целом |
Система менеджмента качества и система менеджмента рисков - две взаимосвязанные системы и должны быть интегрированы в общую систему менеджмента предприятия неразрывно, тем самым целесообразно выделить риски в системе менеджмента качества по 7 разделу стандарта ГОСТ ISO 9001-2011 «Процессы жизненного цикла продукции», представим их на рис. 1.
На данный момент существует ряд стандартов в области риск-менеджмента. Перечень доступных стандартов в области управления риском представлен в табл. 3.
ГОСТ Р ИСО 31000-2010 стал практическим эталоном, помогающим организациям в разработке собственных систем управления рисками. Стандарт содержит принципы ведения результативного риск-менеджмента, которые внедряют и активно используют передовые компании. В ГОСТ Р 51901.23-2012 установлены принципы анализа опасных событий и инцидентов для включения в реестр риска организации, он предназначен в первую очередь для менеджеров по риску, руководителей организаций и технических экспертов по оценке опасных событий, инцидентов и аварий. Основной его целью является повышение достоверности оценок риска опасных событий и инцидентов, повышение качества и обеспечение сопоставимости информации о риске в реестрах риска различных организаций .
Рис. 1. Влияние рисков в СМК организации
Таблица 3
Перечень стандартов в области риск-менеджмента
|
Обозначение документа |
Разработчик (организация, страна) |
Название на русском языке |
Название на английском языке |
|
ГОСТ Р ИСО 31000-2010 |
Менеджмент риска. Принципы и руководство |
Risk management. Principles and guidelines |
|
|
ГОСТ Р ИСО/МЭК 31010-2011 |
Международная организация по стандартизации ISO (International Organization for Standardization) |
Менеджмент риска. Методы оценки риска |
Risk management. Risk assessment methods |
|
ГОСТ Р 51901.23-2012 |
Международная организация по стандартизации ISO (International Organization for Standardization) |
Менеджмент риска. Реестр риска. Руководство по оценке риска опасных событий для включения в реестр риска |
Risk management. Risk register. Assessment Guide of hazards risk for inclusion in register |
|
ISO Guide 73:2009 |
Международная организация по стандартизации ISO (International Organization for Standardization) |
Менеджмент рисков. Словарь |
Riskmanagement - Vocabulary |
|
A Risk Management Standard 2002 |
Федерация европейских ассоциаций риск-менеджеров (FERMA) |
Регламент управления риском |
A Risk Management Standard |
|
Standard COSO (2004) |
Комитет спонсорских организаций (COSO) Комиссии Тредвей (Канада) |
Стандарты COSO «Интегрированные системы управления риском на предприятиях» |
Enterprise Risk Management (ERM) - Integrated Framework (2004) |
|
AS/NZS 4360:2004 |
Australian/New Zealand |
Стандарт «Риск-менеджмент» |
Risk Management standard |
|
Australian/New Zealand |
Руководящие указания по применению стандарта риск-менеджмента AS/NZS 4360:2004 |
Risk Management Guidelines. - Companion to AS/NZS 4360:2004 |
|
|
Руководящие указания по принятию решений при управлении риском |
Risk Management Guidelines for Decision Makers |
||
|
Руководящие указания по разработке и внедрению системы риск-менеджмента |
Guidelines for development and implementation of risk managementsystem |
||
|
ONR 49000: 2008.06.01 |
Австрийский институт стандартизации Osterreichisches Normungsinstitut |
Риск-менеджмент для организаций и систем. Термины и принципы |
Risk management for organizations and systems - Terms and principles |
|
НП «Русское общество управления рисками» |
Профессиональный стандарт «Управление рисками (риск-менеджмент) организации» |
Risk management for organizations |
Таблица 4
Сравнительная характеристика компаний по деятельности в области управления рисками
|
Компания |
Направления деятельности в области управления рисками |
Выделение основных видов рисков |
|
«Автоваз» |
1. Контроль основных рисков (операционных, финансовых и правовых рисков). 2. Систематический мониторинг возможных рисков, свойственных как основной операционной деятельности, так и процессу реализации инвестиционных проектов. При этом применяются различные способы реагирования на риски, включая: Уклонение от риска - от рискованных проектов; Предотвращение риска - проведение превентивных мероприятий; Воздействие на источник риска - работа с проблемными поставщиками; Перенос рисков - путем заключения договоров о страховании; Принятие риска - путем создания резервов для покрытия убытков за счет собственных средств. 3. Создана двухуровневая организация управления рисками, охватывающая корпоративный уровень и уровень структурных подразделений |
Отраслевые; Страновые и региональные; Финансовые; Правовые; Риски, связанные с деятельностью (в т.ч. производственные и риски потерь клиентов) |
|
Холдинг «Сибур» |
Неопределенность развития рынков, проявление неблагоприятных событий в процессе финансово-хозяйственной деятельности холдинга, ограниченность материальных, трудовых и временных ресурсов создают объективную неизбежность проявления рисков. Развитие холдинга требует принятия рискованных решений, умения управлять изменениями и прогнозировать их последствия. Постоянно совершенствуются управленческие подходы и бизнес-процессы, связанные с производственно-хозяйственной деятельностью |
Техногенный; Регулятивный; Риск информационных систем; Риск не достижения результатов инвестиционных проектов; Рыночный; Логистический |
|
ОАО «РЖД» |
1. Реализации структурных преобразований по снижению риска неконкурентоспособности на российском и зарубежных рынках и обеспечению текущей деятельности. 2. Перераспределение финансовых потоков от ОАО «РЖД» к локальным перевозчикам без создания дополнительной отраслевой стоимости как результата их вхождения в наиболее прибыльные сегменты рынка. 3. Реализация стратегии диверсификации деятельности ориентированной на потребности клиентов, заинтересованных в комплексном транспортно-логистическом обслуживании на российском и зарубежных рынках |
Финансовые; Экономические; Операционные |
Проект ISO 9001:2015 предполагает анализ рисков как основное предназначение СМК организации. Основная задача организаций - осуществить внедрение новых принципов менеджмент-риска, что позволит обеспечить управляемый переход и повысить степень интеграции СМК с бизнес-процессами и сократить накладные расходы. Проект ISO 9001:2015 представляет требования: «вносить изменения в СМК, при необходимости», которые раньше лишь предполагались, например проверка ошибок, управление изменениями, риск-менеджмент и допуск ошибок при невыполнении запланированных мероприятий .
Большинство крупных компаний в России развивают методы и инструменты управления рисками, которые пришли в качестве требований от иностранных компаний, являющихся инвесторами или партнерами при реализации различных проектов. Управление рисками получило широкое распространение в предприятиях нефтегазовой, транспортной, строительной и машиностроительной отраслей, финансовом и банковском секторах. Примерами таких компаний могут служить Лукойл, РАО ЕЭС, ОАО РЖД, ГАЗПРОМ, РУСАЛ, Аэрофлот, Альфа-Банк, Русский Банк Развития, Внешторгбанк. В большинстве компаний введены внутренние стандарты организаций по управлению рисками .
В настоящий момент перед многими российскими предприятиями, в том числе и предприятиями Республики Мордовия, стоят цели сохранения своего устойчивого развития за счет грамотного и эффективного управления рисками в разных областях своей деятельности. Так, в ОАО СЗРТ проводятся семинары-тренинги, обучение персонала в области управления рисками. Целью данных проектов является увеличение эффективности управления компанией, сокращение издержек, повышение знаний персонала, а также для продвижения продукции и имиджа компании Рабэкс Групп. Наиболее часто встречающиеся риски и угрозы невыполнения показателей основных бизнес процессов системы менеджмента качества ОАО СЗРТ представлены на рис. 2.
Рис. 2. Потенциальные риски и угрозы в основных процессах СМК ОАО «СЗРТ»
Из рисунка видно, что практически все основные процессы жизненного цикла продукта имеют наличие признаков неуправляемости рисками, это говорит о необходимости ведения серьезной работы по прогнозированию рисков и их планированию на предприятии.
Заключение
Таким образом, риск-менеджмент является достаточно новой парадигмой стратегического управления. Комплексное управление рисками позволяет более полно учитывать внутренние и внешние рискообразующие факторы в деятельности предприятия, определяет пути обеспечения устойчивости хозяйствующего субъекта, его способности противостоять неблагоприятным ситуациям. Реализация принципов менеджмента качества и принципов риск-менеджмента в их интеграции позволяет вести систематический мониторинг рисков, проводить соответствующие корректирующие и предупреждающие действия, а также планировать и прогнозировать риски организации. Значимыми индикаторами эффективного управления рисками являются положительные показатели основных бизнес-процессов и отсутствие рекламаций потребителей.
Рецензенты:
Краковская И.Н., д.э.н., профессор кафедры менеджмента, ФГБОУ ВПО «Мордовский государственный университет им. Н.П. Огарёва», г. Саранск;
Филиппова Н.А., д.э.н., профессор кафедры финансов и кредита, ФГБОУ ВПО «Мордовский государственный университет им. Н.П. Огарёва», г. Саранск.
Библиографическая ссылка
Шилкина А.Т., Савкин А.Г. УПРАВЛЕНИЕ РИСКАМИ В СИСТЕМЕ МЕНЕДЖМЕНТА КАЧЕСТВА ПРОМЫШЛЕННОГО ПРЕДПРИЯТИЯ: РЕГИОНАЛЬНЫЙ АСПЕКТ // Фундаментальные исследования. – 2015. – № 7-4. – С. 857-862;URL: http://fundamental-research.ru/ru/article/view?id=38836 (дата обращения: 04.01.2020). Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
Актуальными проблемами современного менеджмента являются идентификация, анализ и снижение рисков, сопровождающих практически все виды деятельности предприятия . В настоящее время в российском менеджменте проходит первичное осмысление рисков . Анализ литературы, посвященной данной тематике , позволяет сделать вывод, что вопросу управления рисками в области обеспечения качества образования уделяется недостаточно внимания. В настоящей статье представлена методика управления рисками процессов СМК вуза
А.А. Спиридонова, Е.Г. Хомутова
Управление рисками процессов СМК вуза
Аннотация: В статье представлена методика управления рисками процессов СМК вуза, основанная на внедрении существующих подходов к управлению рисками применительно к условиям функционирования процессов СМК вуза. Управление рисками в представленной методике является завершающим звеном системы мониторинга процессов.
Ключевые слова: риск, процесс, управление рисками, FMECA , система менеджмента качества вуза
Одним из актуальных вопросов современного менеджмента является идентификация, анализ и снижение рисков, сопровождающих практически все виды деятельности предприятия .
Можно выделить следующие объекты для применения менеджмента рисков:
- процессы системы менеджмента;
- проекты;
- деятельность (например, трансфер процессов, составление производственного графика);
- объекты, представляющие опасность для работников организации, а также продукция или ее элементы, представляющие опасность для потребителей .
К сожалению, подход к управлению с позиций менеджмента рисков еще не стал одним из базовых принципов ИСО 9001. Задача бизнеса состоит в том, чтобы интегрировать данный подход в практику и использовать его в более широком смысле, в том числе в рамках менеджмента качества .
В настоящее время в российском менеджменте проходит первичное, начальное осмысление рисков . Анализ литературы в данной сфере позволяет заключить, что в особенности недостаточное внимание уделяется вопросу управления рисками в области обеспечения качества образования.
Настоящая статья посвящена разработке методики управления рисками процессов СМК вуза.
Учитывая, что система менеджмента качества опирается на процессную модель, следует и подсистему управления рисками реализовать применительно к существующим процессам, что позволит сделать систему менеджмента качества более гибкой, результативной и эффективной.
Под моделью управления рисками процесса СМК вуза авторы подразумевают совокупность процедур и методов, направленную на минимизацию риска и связанную с идентификацией, оценкой, анализом влияния рисков на функционирование процессов и принятие решений, предназначенную для максимизации положительных и минимизации отрицательных последствий наступления нежелательных событий.
На рис. 1 представлена концептуальная модель процесса управления рисками, построенная с помощью методологии IDEF0, составляющими которой являются:
- информация от подсистем системы мониторинга процессов, информация о деятельности вуза, информация о внешней среде вуза (вход);
- отчет, содержащий оценку оперативных управляющих воздействий на процесс (выход);
- документы, регламентирующие деятельность вуза, нормативные документы по управлению рисками, инструменты управления рисками, документация СМК вуза (управляющие воздействия);
- группа экспертов, управленческий персонал вуза и материально-технические, финансовые и информационные ресурсы (ресурсы).
Рис. 1 - Контекстная диаграмма процесса управления рисками
Декомпозиция представленной модели раскрывает последовательность этапов проведения методики и их ресурсное обеспечение.
Разработанная авторами методика управления рисками процессов основана на интеграции таких методов менеджмента качества, как FMECA (Failure Mode, Effects and Criticality Analysis), диаграмм Исикавы и состоит из следующих процедур и действий:
Старт процесса управления рисками;
Общая оценка риска;
Выработка оперативных управляющих воздействий на процесс;
Реализация оперативных управляющих воздействий на процесс;
Определение результативности и/или эффективности предпринятых действий.
Старт процесса управления рисками состоит из следующих основных стадий:
- Выбор объекта управления рисками;
Под объектом управления рисками подразумевается процесс/группа процессов СМК вуза, подвергаемые процедуре управления рисками.
- Формирование группы внутренних экспертов;
Выбор членов группы экспертов является ключевым фактором успеха реализации методики управления рисками процесса.
Ввиду того, что группа внутренних экспертовустанавливает риски, которые должны быть предотвращены или снижены до приемлемого уровня, выявляет причины возникновения этих рисков (причинно-следственные связи) и участвует в разработке стратегии по предотвращению или снижению выявленных и оцененных рисков, члены данной группы должны быть компетентны и надлежащим образом осведомлены в области функционирования объекта управления рисками.
В состав группы внутренних экспертов должны входить: представитель руководства по качеству, руководитель процесса, поставщики и потребители процесса, а также сотрудники Службы качества. В составе команды специалистов должно быть 5-9 человек.
- Сбор исходной информации;
Экспертные мнения должны учитывать всю существующую доступную информацию, в том числе статистическую, характерную для выбранного процесса(ов).
Источниками получения информации по выявлению опасностей применительно к управлению рисками процесса являются:
Измерение и анализ показателей процесса;
Внутренние и внешние аудиты;
Самооценка эффективности функционирования СМК;
Измерение и анализ удовлетворенности потребителей;
Информация от составляющих системы мониторинга процессов;
Информация о деятельности вуза;
Информация о внешней среде вуза;
Документация СМК вуза;
Нормативные документы по управлению рисками;
Документы, регламентирующие деятельность вуза;
Мнение группы внутренних экспертов об особенностях процессов.
- Определение необходимых ресурсов;
В зависимости от целей исследования необходимо определить количество выделяемых временных, материально-технических и финансовых ресурсов для эффективной реализации процесса управления рисками.
- Установление критериев риска.
В данной методике не предусмотрено единственное пороговое значение приоритетности риска, а на основании таблицы 1 производится оценка критичности того или иного выявленного риска. Это позволяет ранжировать риски процесса и в дальнейшем разрабатывать предупреждающие действия, соответствующие полученной степени значимости риска, что обеспечивает экономию ресурсов.
Таблица 1 - Зависимость степени значимости риска от рассчитанного RPN
Следующим этапом разработанной методики выступает общая оценка рисков, которая состоит из следующих стадий:
идентификация опасностей;
анализ рисков;
Идентификация опасностей является одним из базовых и основополагающих элементов в управлении рисками. Идентификация опасности связана с вопросом «Что может происходить неверно?», а также с установлением возможных причин, последствий и существующих методов обнаружения опасности (см. рис. 2).
Рис. 2 - Идентификация опасностей
Необходимо составить список всех возможных опасностей, которые могли бы возникать в отношении объекта рассмотрения.
К примеру, применительно к процессам СМК вуза таковыми опасностями могут являться: недостаточная квалификация преподавателя, недостаточно современная материально-техническая база вуза, низкая удовлетворенность персонала учебного заведения и др.
Для идентификации опасностей процесса используется метод «мозгового штурма» с последующим построением диаграммы Исикавы. При этом необходимо исходить из предположения, что опасность может появиться, но его появление не обязательно. То есть, необходимо отразить также и те опасности, которые могут появиться при совершенно экстремальных условиях.
При идентификации опасностей определяющим фактором является полнота используемой информации.
- Анализ рисков
Данная стадия заключается в определении уровня риска для каждой выявленной опасности, влияющей на процесс.
Для количественной оценки критичности опасности определяется значение приоритетности риска - RPN (Risk Priority Number) как произведение средних значений тяжести последствий, вероятности появления и вероятности обнаружения риска.
Показатели для расчета RPN определяются с помощью метода экспертных оценок по 10-балльной шкале. Таким образом, RPN может принимать значения от 1 до 1000.
Для уверенности в адекватности полученных результатов оценивается степень согласованности экспертов по каждому риску по величине коэффициента конкордации.
- Оценка риска
Цель данного этапа - установление приоритетов и тех рисков, которые должны быть предотвращены или снижены до приемлемого уровня. Риску присваивается одна из характеристик: «неприемлемый риск», «умеренный риск», «критический риск», «незначительный риск» в соответствии с таблицей 1.
После реализации стадии общей оценки риска производится выработка оперативных управляющих воздействий на процесс, т.е. разработка конкретных экономически эффективных стратегий и планов действий по увеличению потенциальных выгод и сокращению потенциальных затрат.
Группа внутренних экспертовустанавливает риски, которые должны быть предотвращены или снижены до приемлемого уровня и разрабатывает стратегию по предотвращению или снижению выявленных и оцененных рисков. При этом степень усилий при управлении рисками процесса соизмеряется с критичностью риска на основании рис. 3.
Следует принимать во внимание, что решения, которые принимаются в процессе управления рисками, должны отвечать корпоративным целям с целью реализации долгосрочных приоритетов вуза. В случае если может быть реализовано несколько стратегий предупреждающих действий, необходимо выбрать те, которые наиболее экономически целесообразны.
В последующем проводится внедрение стратегии борьбы с рисками посредством реализации разработанных предупреждающих действий относительно процесса. При этом весьма важным является выделение необходимых ресурсов с целью эффективной реализации оперативных управляющих воздействий на процесс.
Рис. 3 – Предпринимаемые предупреждающие действия
Для того чтобы управляющие воздействия были результативны, необходимо проводить регулярный контроль и анализ результатов, сроков и затрат на реализацию запланированных мероприятий. Таким образом, на этапе определения результативности и/или эффективности предпринятых действий, проводится анализ достижения целей в области управления рисками, которые были поставлены высшим руководством.
В случае если предпринятые действия нерезультативны, необходимо исследовать причины данной нерезультативности и предпринять соответствующие действия для устранения данных причин, а также разработать новый план предупреждающих действий.
Результаты оценки результативности и/или эффективности предпринятых действий относительно процесса являются важной информацией и должны быть включены в отчет о функционировании процесса СМК вуза.
Таким образом, разработанная методика позволяет провести комплексную работу по управлению рисками на регулярной основе, обеспечить снижение возможных рисковых потерь. Все это позволяет перейти к непрерывному интегрированному управлению рисками процессов СМК вуза.
Преимуществами представленной методики являются:
адаптация существующих подходов в области риск-менеджмента непосредственно к управлению рисками процессов СМК вуза;
управление рисками является завершающим звеном системы мониторинга процессов, при этом в качестве исходной информации для процесса управления рисками используется информация от всех составляющих - подсистем мониторинга процессов (измерение и анализ показателей процесса; внутренние и внешние аудиты; самооценка эффективности функционирования СМК; измерение и анализ удовлетворенности потребителей);
применение таких методов менеджмента качества, как FMECA и диаграммы Исикавы обеспечивает комплексный научный подход к управлению рисками;
с целью разработки адекватных предупреждающих действий производится оценка критичности риска на основании зависимости степени значимости риска от рассчитанного RPN.
Представленные модель и методика управления рисками процесса обеспечивают гибкое оперативное и тактическое управление внутренними и внешними рисками процессов, свойственные современным условиям функционирования вуза. Данная методика согласована с процессной структурой вуза, с функционирующими подсистемами мониторинга процессов, что обеспечивает стабильность и устойчивость развития вуза.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Васильков Ю.В., Гущина Л.С.
Система менеджмента рисков как инструмент управления экономикой предприятия // Методы менеджмента качества. - 2012. - №2. - С. 10-15.
2. Котов С.С., Касторская Л.В.
Показатели процессов, риски, изменчивость – что общего? // Стандарты и качество. - 2011. - №10. - С. 22-27.
3. Андросенко Н.В., Бакштеева Н.А.
Особенности построения и оценки интегрированных систем менеджмента с учетом бизнес-рисков // Стандарты и качество. - 2009. - №12. - С. 68-72.
4. Виткин Л.М., Саевич И.Б., Лапач С.Н.
Построение модели оценивания риска продукции // Стандарты и качество. - 2008. - №2. - С. 30-31.
5. Дьяконов Б.П., Никонов В.О.
Системное управление рисками информационной безопасности на основе ИСО 27001:2005 // Стандарты и качество. - 2008. - №12. - С. 64-66.
6. Макарова Н.С.
Риски в процессе устойчивого развития организаций // Стандарты и качество. - 2012. - №5. - С. 91.
7. Марцынковский Д.А.
Обзор основных аспектов риск-менеджмента // Компетентность. - 2009. - №1(62). - С. 36-43.
8. Никифорова А.П.
Управление рисками при производстве авиационной техники // Стандарты и качество. - 2011. - №6. - С. 27.
9. Ставенко Ю.А., Громов А.И.
Подход к управлению операционными рисками бизнес-процессов организации // Качество. Инновации. Образование. - 2012. - №10. - С. 76-83.
Построение системы риск-менеджмента преследует цель достижения наибольшей эффективности бизнеса и в условиях повышения технологичности экономических процессов становится все более значимым вопросом. Особое внимание в настоящее время уделяется рискам информационной безопасности (ИБ), что связано со стремительным развитием информационных технологий (ИТ), вызвавших появление нормативно-правовых требований к системам менеджмента организаций и защите информации. Так, например, государственным военным стандартом ГОСТ РВ 0015-002 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования» установлен ряд требований к системам менеджмента качества предприятий оборонно-промышленного комплекса (ОПК). Пункт 4.3 ГОСТ РВ 0015-002-2012 накладывает обязательство на внедрение и документальное оформление порядка соблюдения информационной безопасности для предприятий, участвующих в государственном оборонном заказе. Построение и сертификация системы управления информационной безопасностью проводится в соответствии с национальным стандартом ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В одной из предыдущих статей мы рассматривали . Основные подходы к управлению рисками приведены в пункте 4.2. ГОСТ Р ИСО/МЭК 27001-2006.
Остановимся на ключевых дефинициях, о которых далее пойдет речь. Понятие риск достаточно многогранно и может немного менять смысловой оттенок в зависимости от процесса, в рамках которого рассматривается. Традиционные подходы финансового менеджмента основаны на поиске оптимального решения дилеммы «доходность-риск», когда величина риска влияет на цену производимого продукта. Применительно к соблюдению информационной безопасности стоимостно-ориентированные походы риск-менеджмента не совсем уместны, т.к. процедура управления в данном случае используется по отношению к обеспечительным процессам. Поэтому здесь мы будем придерживаться трактовке термина «риск», как интегрального показателя вероятности реализации угрозы и степени нанесенного ущерба (степени воздействия). В качестве угрозы безопасности информации рассматривается совокупность условий и факторов, которые могут стать причиной инцидента. Под процедурой управления рисками мы понимаем комплекс применяемых действий, направленных предприятием на экономические и технические процессы, в целях обеспечения необходимого уровня информационной безопасности. Типовая процедура управления рисками схематично представлена на рис. 1.
Целью управления рисками информационной безопасности является обеспечение целостности, доступности и конфиденциальности всех компонентов ИТ инфраструктуры путем уменьшения возможности реализации угроз и разработки действий по устранению последствий их реализации. Естественно, прежде всего, необходимо детально исследовать технологические процессы предприятия, чтобы учесть все факторы, влияющие на ИБ и выявить соответствующие риски. Поэтому нужно определить и классифицировать объекты, имеющие материальную ценность и подлежащие защите, так называемые активы информационной безопасности, а также угрозы, связанные с их жизненным циклом.
К активам ИБ относятся конфигурационные элементы информационной системы (оборудование, специализированные помещения, программное обеспечение, документация и др.), которые объединяются в группы, исходя из их назначения, функциональности и присущих угроз. Активы ИБ классифицируются по уровню критичности, характеризующему их приоритетность и необходимую степень защиты (соответствующий набор методов защиты). Принято устанавливать три уровня критичности: высокий, средний и низкий. Оценку рисков целесообразно проводить преимущественно для активов ИБ высокого и среднего уровня критичности, когда влияние на конфиденциальность, целостность и доступность таких активов может причинить предприятию значительный ущерб.
Далее применительно к каждому типу активов ИБ выявляются потенциальные угрозы, и определяется степень воздействия этих угроз на информационную безопасность предприятия. Источниками угроз могут являться внешнее окружение, используемые технологии и процессы, персонал. Результатом реализации угрозы становится раскрытие, изменение, потеря или разрушение актива ИБ, утрата или компрометация конфиденциальной информации и т.д. Степень воздействия угрозы, т.е. уровень возможного ущерба от ее реализации, оценивается по различным категориям (конкурентное преимущество, законы и регулятивные требования, операционная доступность, репутация на рынке, стоимость актива, ущерб от нарушения бизнес-процессов и т.д.) и выражается как высокая, низкая или средняя. Затем по аналогичной шкале определяется вероятность возникновения угрозы (наступления рискового события).
В результате формируется матрица оценки риска, на основании которой, риск можно ранжировать в зависимости от вероятности реализации и степени воздействия угрозы, табл. 1.
Таблица 1. Матрица оценки риска
Для построения эффективной системы управления информационной безопасностью идентифицированные и оцененные риски следует сгруппировать, разделив, например, на три категории: риски доступности, риски информационной безопасности и риски непрерывности по типу применяемых к ним мер защиты. Идентифицировав и оценив риски ИБ, можно переходить непосредственно к и этой процедуры.
Кроме того, оценку рисков нужно проводить комплексно с другими процедурами управления, следуя процессному подходу, что позволит создать и успешно сертифицировать единую систему менеджмента предприятия. Это необходимо, в первую очередь, предприятиям ОПК в целях выполнения требований по сертификации системы менеджмента на соответствие стандарту ГОСТ РВ 0015-002 для получения лицензии МинПромТорга (сокращенно – лицензии ВВТ).
Наши эксперты готовы оперативно и квалифицированно ответить на вопросы, связанные с построением и сертификацией системы управления информационной безопасностью. Вы можете заказать консультацию по управлению рисками системы менеджмента вашего предприятия прямо сейчас.
