Процессный подход при идентификации рисков организации

Введение

Современные системы менеджмента крупных корпораций, организаций и предприятий в последние годы наряду с традиционными компонентами (блоки, связанные с планированием, оперативным управлением, управлением финансами и другие) все чаще стали дополняться отдельными блоками, позволяющими идентифицировать и управлять различного рода рисками. Таким образом, методологии и системы управления рисками (риск-менеджмент), опирающиеся на многочисленные международные и отечественные стандарты, становятся неотъемлемой и необходимой частью инструментария управления. При построении эффективных систем риск-менеджмента необходимо решить целый ряд взаимосвязанных задач. К таким задачам относятся, прежде всего, задачи, связанные с идентификацией рисков, сравнительным анализом и их последующей оценкой на различных стадиях проектирования и внедрения.

Внедрение систем по управлению рисками является на сегодняшний день не столько осознанной руководителем организации необходимостью, сколько обеспечением требований международных стандартов в области систем менеджмента качества.

В новой версии стандарта ISO 9001:2015 появилось понятие «мышление, основанное на менеджменте рисков», а также требование (а не рекомендации) к организациям учитывать риски при планировании и управлении системой менеджмента качества.

Можно констатировать, что имеется достаточно большое количество работ по анализу организации и практического применения систем управления рисками в организациях. В научных трудах [1, 2] (Grabovyy, Petrova, Romanova et al., 1994; Grinberg, 1993) содержатся общие подходы к организации систем по управлению рисками на предприятиях, работы [3–7] (Trifonov, Brykalov, Trifonov, 2019; Brykalov, Balyberdin, Trifonov, 2018; Brykalov, Netronin, Balyberdin et al., 2018; Brykalov, Balyberdin, Trifonov, 2020; Brykalov, 2019) раскрывают практические подходы к построению организационных структур, функциональных областей, процессов, а также автоматизированных систем по управлению рисками в организациях, в [8] (Granaturov, 1999) детально отображены сущность и особенности управления экономическими рисками.

В первом квартале 2020 года введены в действие национальные стандарты по управлению рисками [9, 10]. Стандарт [9] дает рекомендации по выстраиванию эффективного риск-менеджмента (принципы, структура, процессы), а стандарт [10] содержит подходы к выбору и применению различных технологий по идентификации, анализу и сравнительной оценке риска, которые могут быть использованы для совершенствования понимания неопределенности и риска.

Несмотря на полноту информативной базы, вновь введенные и действующие стандарты по управлению рисками, а также литературные источники не содержат прямых рекомендаций и подходов к определению объектов (источников) рисков, то есть неясен вопрос, на какую область (сферу) деятельности должен обратить внимание руководитель (менеджер) перед тем, как приступить непосредственно к идентификации рисков хозяйственной деятельности.

Целью настоящей работы являются разработка и анализ применения процессного подхода при выполнении процедур идентификации рисков хозяйственной деятельности предприятия.

В статье применены общенаучные методы анализа и синтеза. Основные источники информации: научные труды и публикации в области управления рисками, а также нормативные акты, регламентирующие процессы управления рисками.

Практическая значимость материалов статьи заключается в том, что проведенные в статье теоретико-эмпирические исследования, а также описанные в работе инструменты и подходы могут быть заимствованы и использованы на других промышленных предприятиях вне зависимости от рода их деятельности.

В [11] (Khokhlov, 1999) предлагается, что для того чтобы оценить риск и принять соответствующие решения, необходимо собрать исходную информацию об объекте – носителе риска. В [12] (Vishnyakov, Radaev, 2008) также указано, что категория риска всегда относится к определенному объекту деятельности, цель которой заключается в достижении определенного результата.

Однако данные источники не дают представления, что именно является объектом (источником) рискового события.

По нашим наблюдениям, на многих предприятиях руководители (менеджеры) буквально подходят к понятию «объект деятельности» и в качестве источника рисков определяют такие объекты, как:

- производственная площадка/месторождение;

- технологический объект (установка, блок);

- здание/сооружение/корпус (бытовые помещения, столовая, прачечная и т. д.);

- единица оборудования (станок, машина и т. д.);

- штатная структура (цех/отдел/бюро и т. д.);

- рабочее место.

На наш взгляд, данный подход к определению объекта рисковых событий нецелесообразен. Анализируя объект в данном понимании, мы будем концентрироваться на рисковых событиях, связанных с функционированием объекта как такового, то есть в большей части на рисках безопасности (недозагрузка установки, простой или поломка установки/оборудования, получение травмы на рабочем месте и т. д.), при этом упуская из вида все бизнес-процессы, которые обеспечивает и/или поддерживает данный объект деятельности.

Действительно, процесс обработки детали на станке заключает в себе, помимо рисков его поломки и выхода из строя, еще и значительный перечень категорий «процессных» рисков:

- риски обеспечения инструментом, деталями, комплектующими;

- риски обеспечения технологическими инструкциями;

- риски изготовления дефектной продукции;

- риски отсутствия подменного персонала и риски отсутствия квалификационного персонала (кадровые риски);

- риски сбоя энергоснабжения и т. д.

На наш взгляд, для выполнения идентификации рисков хозяйственной деятельности руководителям (менеджерам) целесообразно применять процессный подход.

Источниками возникновения рисков (как рисков-угроз, так и рисков-возможностей) в организации являются ее бизнес-процессы/подпроцессы, протекающие как в рамках осуществления производственной деятельности бизнес-направлений и функциональных (обеспечивающих) систем при реализации бизнес-проектов, так и в рамках их операционной детальности.

Приступая к процессу идентификации рисков, необходимо выделить наиболее существенные/значимые цели/задачи в рабочих процессах в зоне ответственности функциональных руководителей, влияющие как на достижение требуемого результата курируемых подразделений, так и в конечном итоге на достижение стратегических целей и задач организации.

Далее функциональным руководителям необходимо проанализировать рабочие процессы, в которых они принимают участие на предмет установления того, какие риски влияют на достижение поставленных перед ними задач, используя доступные источники информации, а также с учетом анализа влияния на бизнес-процесс внешнего и внутреннего контекста.

Для анализа бизнес-процесса его целесообразно представить в виде общеизвестной «модели черепахи» (рис. 1), при этом необходимо учесть контекст организации (условия, в которых функционирует организация), включая характеристику влияния внешних и внутренних факторов [13] (Brykalov, 2019).

При определении источников рисков в качестве внешних факторов рассматриваются факторы внешней среды, в качестве внутренних – ценности, культура, знания, ресурсы, показатели деятельности организации.

Рисунок 1. Анализ бизнес-процесса с использованием модели «черепаха»

Источник: предложено авторами на основе усовершенствования материалов семинара «Внутренний аудитор систем менеджмента качества» ООО ТКБ «Интерсертифика», 2018 г.

Анализируя влияние внешнего и внутреннего контекста на бизнес-процесс/подпроцесс, можно определить источники возникновения рисков (табл. 1).

Таблица 1

Определение источников рисков

На следующем этапе с целью упрощения процедур идентификации и управления рисками целесообразно выполнить декомпозицию бизнес-процесса на отдельные этапы.

Для анализа основных бизнес-процессов организации и их этапов на предмет определения источников рисков можно воспользоваться следующими источниками:

- картами процессов (при их наличии);

- результатами исследований внутренней и внешней удовлетворенности процессами;

- положениями о подразделениях, содержащих информацию о целях, задачах, функциональных обязанностях подразделений, а также требованиях к результатам деятельности;

- положениями, порядками, инструкциями и другими локально-нормативными актами организации, регламентирующими соответствующие бизнес-процессы/подпроцессы.

Выполнив декомпозицию бизнес-процесса на отдельные этапы и определив предварительно источники рисков, можно приступать к процедурам их идентификации с применением методик Стандарта [2]:

- технологий выявления мнения причастных сторон и экспертов (мозговой штурм, метод Делфи, опросы, интервью и др.);

- технологий идентификации (контрольные листы, сценарный анализ, HAZOP, SWIFT, метод «галстук-бабочка» и др.)

В результате использования процессного подхода мы можем получить полный перечень рисковых событий для каждого этапа бизнес-процесса. В таблице 2 представлен пример выявленных рисков по этапам процесса «Изготовление продукции».

Таблица 2

Идентификация рисков бизнес-процесса «Изготовление продукции»

На основе этой информации можно приступить к дальнейшим процедурам управления рисками – анализу выявленных рисков, оценке рисков, выбору стратегии реагирования на риски и разработке мер по устранению или минимизации рисков.

Заключение

На наш взгляд, процессный подход позволяет получить исчерпывающий реестр рисковых событий для каждого бизнес-процесса организации. Данную информацию необходимо использовать в процессе принятия управленческих решений на верхних уровнях управления крупных корпораций, предприятий и организаций.

Предложенные в настоящей статье методические подходы и практические рекомендации по определению источников рисков могут быть использованы и тиражированы промышленными предприятиями в практике стратегического управления при организации и выстраивании эффективных систем по управлению рисками.