СОВЕРШЕНСТВОВАНИЕ ЭЛЕМЕНТОВ ИСМ НА ОСНОВЕ РИСК-МЕНЕДЖМЕНТА - Студенческий научный форум

V Международная студенческая научная конференция Студенческий научный форум - 2013

Личный портфель

СОВЕРШЕНСТВОВАНИЕ ЭЛЕМЕНТОВ ИСМ НА ОСНОВЕ РИСК-МЕНЕДЖМЕНТА

Сокуренко Д.А. 1
1ФГБОУ ВПО "КубГТУ"
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Система менеджмента представляет собой совокупность организационной структуры, полномочий и ответственности, существующих в ее рамках, процессов деятельности, трудовых, материальных и финансовых ресурсов и т.д. Все эти составляющие объединены и взаимодействуют между собой для достижения целей организации. Таким образом, система менеджмента является средством достижения целей, сформулированных руководством компании. Однако не любая система является эффективной, способной оправдать ожидания заинтересованных сторон. Эффективная система позволяет добиться достижения поставленных целей при оптимальных затратах и в заданные временные интервалы. Такая система подразумевает, как правило, строго упорядоченную, регламентированную в оптимальном объеме деятельность, которая должна быть понятной как для менеджеров, так и для рядовых сотрудников[2].

Система менеджмента организации может включать различные подсистемы менеджмента, например: СМК, систему финансового менеджмента, систему менеджмента охраны окружающей среды. Цели в области качества дополняют другие цели организации, связанные с развитием, финансированием, рентабельностью, окружающей средой, охраной труда, безопасностью и т.д.

Различные части системы менеджмента организации могут быть интегрированы вместе с СМК в единую систему менеджмента, использующую общие элементы. Это может облегчить планирование, выделение ресурсов, определение дополнительных целей и оценку общей эффективности организации.

Международный стандарт ISO 9000 определяет СМК как систему менеджмента для руководства и управления организацией применительно к качеству. СМК призвана так организовать деятельность предприятия, чтобы гарантировано обеспечивать качество продукции или услуг предприятия и настраивать это качество на ожидания потребителей (заказчиков). При этом ее главная задача - не контролировать каждую единицу продукции, каждую операцию, а сделать так, чтобы не было ошибок в работе, которые могли бы привести к появлению несоответствий. СМК делает акцент на предупреждение проблем.

Система менеджмента качества содержит еще несколько встроенных механизмов самосовершенствования (внутренние аудиты, анализ со стороны руководства, обратная связь от потребителей и др.), которые в совокупности обеспечивают, во-первых, своевременное изменение системы в ответ на изменения внешней и внутренней среды, а во-вторых, постоянное улучшение деятельности предприятия.

Внедрение системы менеджмента качества предполагает вовлечение персонала в деятельность по улучшению качества, что дает возможность предприятию более полно и эффективно использовать способности, знания, умения и навыки своих сотрудников. Вовлечение персонала в деятельность по управлению качеством и специально выстроенная система стимулирования повышают удовлетворенность сотрудников, и соответственно, позитивно влияют на результаты их деятельности; планирование карьерного роста и обучение персонала также направлены на повышение эффективности использования трудовых ресурсов предприятия.

Эффективная система менеджмента качества позволяет также снизить затраты на управление: документированность ключевых процессов деятельности компании обеспечивает их лучшую управляемость; контроль, анализ и пересмотр процессов обеспечивает их непрерывное совершенствование; распределение полномочий и ответственности персонала дает механизмы контроля исполнения обязанностей и меры предупреждения отрицательных результатов. Как результат, предприятие становится более прозрачным для ее руководителей и (при необходимости) для внешнего окружения, повышается точность, качество и оперативность принятия управленческих решений[1].

Интегрированная система менеджмента представляет собой совокупность двух и более систем менеджмента, функционирующих как единое целое.

Наиболее распространенными составляющими ИСМ организации являются СМК по ГОСТ Р ИСО 9001, СЭМ по ГОСТ Р ИСО 14001, СУОТ по ГОСТ 12.0.230 (OHSAS 18001), а также другие системы менеджмента.

Под ИСМ следует понимать часть системы общего менеджмента, отвечающую требованиям двух или более международных стандартов и функционирующую как единое целое. Очевидно, что ИСМ не следует отождествлять с системой общего менеджмента организации, объединяющей все аспекты деятельности организации, поскольку ИСМ не затрагивает вопросы финансового, инвестиционного менеджмента, менеджмента ценных бумаг и т.д.

Внедрение интегрированной системы менеджмента на предприятии позволяет решить следующие проблемы, зачастую возникающие при параллельном или последовательном независимом внедрении нескольких стандартов:

  • дублирование процессов, документов, должностей и функций подразделений;

  • запутанность взаимосвязей между системами управления качеством, экологией, профессиональной безопасностью и здоровьем при независимом внедрении;

  • сложность целостного восприятия системы менеджмента руководством компании, и, соответственно, низкая эффективность планирования, контроля и управления в целом;

  • длительный срок внедрения группы стандартов на предприятии;

  • большая трудоемкость и потребность в ресурсах при независимом внедрении группы стандартов.

Преимущества внедрения интегрированных систем менеджмента:

  • повышение технологичности разработки, внедрения и функционирования систем менеджмента;

  • разработка единой гармонизированной структуры менеджмента;

  • снижение затрат на разработку, функционирование и сертификацию;

  • возможность совмещения ряда процессов в рамках ИСМ (планирование, анализ со стороны руководства, управление документацией, подготовка кадров, обучение, внутренние аудиты и пр.);

  • повышение мобильности и возможностей адаптации к изменяющимся условиям;

  • большая привлекательность для потребителей, заинтересованных сторон, инвесторов. Совместное внедрение системы стандартов может значительно удешевить и ускорить процесс внедрения систем.

Интегрированные системы менеджмента имеют ряд преимуществ перед параллельно действующими системами. Они обеспечивают согласованность действий внутри организации, способствуют более высокой степени вовлечённости персонала в улучшение деятельности организации, позволяют уменьшить объем документов на систему менеджмента, по сравнению с суммарным объемом документов в нескольких параллельных системах, а также финансово являются более экономичными, так как снижаются затраты на внедрение, сертификацию, функционирование. Поэтому внедрение интегрированной СМК принесёт огромную пользу для любого предприятия.

Целью работы является изучение семейства международных стандартов серии ISO 31000, а также российских аналогичных стандартов в данной области, и разработка на их основе документа по идентификации рисков на предприятии ООО «Афипский нефтеперерабатывающий завод».

Для достижения поставленной цели в работе необходимо решить следующие задачи:

- раскрыть сущность и содержание международных стандартов серии ISO 31000;

- определить значение и функционирование системы управления рисками;

- установить порядок проведения идентификации и оценки риска.

Объектом исследования в данной работе является усовершенствование элементов ИСМ на основе риск-менеджмента на предприятии ООО «Афипский нефтеперерабатывающий завод».

Предметом исследования является изучение серии международных стандартов ISO 31000 на предприятии и разработка на их основе внутреннего нормативного документа.

1 Нормативные ссылки

В настоящей курсовой работе использованы ссылки на следующие нормативные документы:

ГОСТ Р ИСО 9000 - 2008 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001 - 2008 Системы менеджмента качества. Требования

ГОСТ Р ИСО 14001 - 2007 Системы экологического менеджмента. Требования и руководство по применению

ГОСТ Р 51898 - 2002 Аспекты безопасности. Правила включения в стандарты

ГОСТ Р 51901.1 - 2002 Менеджмент риска. Анализ риска технологических систем

ГОСТ 12.0.230 - 2007 Система стандартов безопасности труда. Системы управления охраной труда. Общие требования

МС OHSAS 18001:2007 Система менеджмента профессиональной безопасности и здоровья. Требования

МС ISO 31000:2009 Менеджмент рисков. Принципы и руководящие указания

МС ISO/IEC Guide 73:2009 Менеджмент риска. Словарь

2 Термины и определения

В настоящей курсовой работе применяются следующие понятия и термины:

2.1 Риск – влияние неопределенности на цели.

2.2 Риск менеджмент – скоординированные действия для того, чтобы направлять и контролировать организацию в отношении рисков.

2.3 Концепция риск менеджмента – набор компонентов, которые предоставляют основы и организационные мероприятия для проектирования, внедрения, мониторинга, анализа и постоянного улучшения риск менеджмента во всей организации.

2.4 Владелец риска – лицо или объект, несущий ответственность за управление рисками.

2.5 Процесс управления рисками – систематическое применение политики менеджмента, процедур и практик по отношению к коммуникации, консалтингу, установлению контекста, а также идентификации, анализу, оценке, исследования, мониторинга и анализа риска.

2.6 Установление контекста – определение внешних и внутренних параметров, которые следует принять во внимание во время управления рисками, а также установление области и критериев риска для политики риск менеджмента.

2.7 Внешний контекст – внешняя среда, в которой организация стремится достигнуть своих целей.

2.8 Внутренний контекст – внутренняя среда, в которой организация стремится достигнуть своих целей.

2.9 Коммуникации и консультации – постоянный и повторяющийся процесс, которым управляет организация для того, чтобы предоставить, поделиться или приобрести информацию, а также для того, чтобы вступить в диалог с заинтересованными сторонами и другими относительно управления рисками.

2.10 Оценка риска – общий процесс идентификации риска, анализ риска и определение степени риска.

2.11 Идентификация риска – процесс нахождения, распознавания и описания риска.

2.12 Источник риска – элемент, который сам по себе или в комбинации с другими имеет внутренний потенциал для возникновения риска.

2.13 Событие – появление или изменение определенных обстоятельств.

2.14 Последствие – исход события, влияющий на цели.

2.15 Анализ риска – процесс понимания природы риска и определения уровня риска.

2.16 Критерии риска – данные, по которым оценивается значимость риска.

2.17 Уровень риска – величина риска, выраженная в рамках комбинации последствий и их вероятности.

2.18 Обработка риска – процесс модификации риска.

2.19 Остаточный риск – риск, который остается после обработки риска.

3О внедрении элементов менеджмента риска в интегрированные системы менеджмента

Менеджмент риска - быстро развивающееся направление совершенствования деятельности предприятий. Стандартизация в этой области началась относительно недавно и, на сегодняшний день, на международном уровне утверждена исключительно терминология в области менеджмента риска (ISO/IEC Guide 73), в то время как общие требования к содержанию процессов менеджмента, их структура и состав определены лишь в национальных стандартах ряда стран (Австралия и Новая Зеландия, Канада, Япония и др.) и специализированных документах некоторых отраслей (QS 9000, HACCP и др.).

В интегрированных системах менеджмента предприятий на основе стандартов ISO 9001, ISO 14001, OHSAS 18001 вопросы менеджмента риска подробно рассмотрены только в области профессиональной безопасности и охраны труда (OHSAS 18001). В остальных, они либо рекомендуются, либо упоминаются вскользь .

Не заостряя внимание на проблеме включения элементов менеджмента риска в стандарты на интегрированные системы менеджмента, что скорее отражает сложность данного процесса, хочется подробнее остановиться на рассмотрении вопросов разработки простых и эффективных методов внедрения элементов менеджмента риска в деятельность предприятия, позволяющих с минимальными затратами сформировать общее представление о рисках в рассматриваемой области и не требующих больших затрат на внедрение и выполнение.

Основу таких методов должна составить общепринятая терминология в области менеджмента риска и упрощенная оценка рисков на основе экспертных методов.

Терминологической основой создания системы менеджмента риска на предприятии должен стать выпущенный в 2002 году и гармонизированный с ISO/IEC Guide 73 стандарт ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения». В соответствии с этим стандартом структура и взаимосвязь процессов менеджмента риска представлена на рисунке 1.

Для повышения верифицируемости этапов менеджмента риска и упрощения на практике их разработки, выполнения и автоматизации, эта структура требует уточнений. Суть необходимых изменений можно сформулировать следующим образом:

  • процесс идентификации источников необходимо расширить до идентификации риска и выделить из оценки;

  • принятие решения необходимо включить в процесс оценки и интегрировать с оцениванием, а принятие риска рассматривать как одну из стратегий действия в отношении риска;

  • коммуникацию риска необходимо рассматривать отдельно как поддерживающий процесс, а не основной.

Необходимость первого изменения обусловлена широтой вопросов, возникающих в ходе выполнения процессов менеджмента риска и носящих более общий характер, нежели идентификация источников, являющаяся элементом оценки. Это требует оформления идентификации как в виде отдельного процесса, так и в виде раздела в формах записей, используемых для документирования этапов процессов менеджмента. При этом следует заметить, что выполнение процессов оценки и обработки рисков не во всех случаях ведет к необходимости дополнительной идентификации источников. Это зависит как от стратегии обработки, так и от возникновения вторичных рисков, которые должны рассматриваться самостоятельно и проходить все стадии менеджмента. Следовательно, выделяя идентификацию в отдельный процесс, мы исключаем дублирование действий при постепенном его снижении до допустимого уровня.

Объединение оценивания риска с этапом принятия решения в его отношении позволяет в комплексе решать задачу определения критериев риска и минимальных требований к мерам по его обработке. Это упрощает разработку и выполнение процессов менеджмента риска и позволяет сделать явной взаимосвязь между его значимостью и принимаемыми в его отношении мерами, что близко к подходу, изложенному в OHSAS 18001.

Касательно третьего следует заметить, что в деятельности предприятия выделяют, как минимум, основные и поддерживающие процессы:

  • основные процессы - процессы, ориентированные на производство продукции, представляющей ценность для потребителя;

  • поддерживающие процессы - процессы формирования необходимых условий, для выполнения основных процессов и непосредственно не связанные с производством продукции.

Используя это деление в отношении процессов менеджмента риска можно сказать, что коммуникация риска - поддерживающий процесс, являющийся элементом всех процессов его менеджмента, рассмотрение которого логично вынести за рамки основных процессов менеджмента для избежания затруднений в их понимании.

Таким образом, окончательно, основными процессами менеджмента риска следует считать :

  • идентификацию рисков;

  • оценку рисков;

  • обработку рисков.

Документированные процедуры процессов менеджмента риска должны включать:

- для процессов идентификации:

а) методы выявления рисков (или ссылки на них);

б) методы документирования рисков;

- для процессов оценки:

а) методы сбора информации;

б) методы качественной/количественной оценки риска;

в) критерии риска и правила принятия решения в отношении его;

- на этапе разработки процессов обработки:

а) методы выбора мер обработки (если необходимо);

б) методы документирования и контроля реализации мер обработки.

Автоматизация процессов менеджмента риска заключена в переводе на электронные формы документооборота записей, используемых для документирования этапов менеджмента риска и их мониторинга. Формы этих записей должны быть определены в документированных процедурах процессов.

Оптимальным является определение трех видов форм записей:

- формы идентификации, оценки и обработки рисков;

- формы оценки и обработки остаточных рисков;

- отчетные формы.

Оптимальность выбора этих форм обусловлена тем, что в процессе менеджмента риска цикл «оценка-обработка» является первым повторяющимся элементом и любой другой выбор приведет к дублированию в записях разделов, имеющих одинаковое смысловое содержание. Кроме того, в ходе автоматизации процессов менеджмента в программных средах с возможностью повторного использования кода, наиболее просто она реализуется в случае применения именно этого подхода.

4 Основные этапы менеджмента риска

4.1 Этапы и элементы менеджмента риска

4.1.1 Установление ситуации

Включает в себя установление внешней и внутренней ситуаций и предусматривает определение основных параметров менеджмента рисков и области применения менеджмента рисков в целом. Установление ситуации включает определение внешней и внутренней среды организации, цель деятельности по менеджменту рисков, а также установление интерфейса между внешними и внутренними средами[6]. Установление ситуации предусматривает обеспечение понимания предыстории организации или современной ситуации и связанных с ними рисков, определение области распространения и структуры этапов и элементов процесса менеджмента рисков. Знание ситуации необходимо для:

- установления и прояснения организационных целей;

- идентификации среды, в которой обеспечивается достижение этих целей;

- выбора и установления границ области деятельности, граничных условий, общих характеристик мер воздействия на риски, заинтересованных сторон и других входных данных, необходимых для процесса менеджмента рисков;

- установления критериев и приоритетности рисков, на соответствие которым будут определяться риски и меры воздействия на них;

- определения соответствующих методов и структуры для идентификации, анализа, оценки и мер воздействия на риски.

Установление внешней ситуации. Внешняя ситуация характеризует связь между организацией и ее внешней средой. На данном этапе определяется внешняя среда, в которой работает организация. Установление внешней ситуации имеет значение для выявления позиций заинтересованных сторон, их мнений и целей при разработке политики организации в области рисков. Она может включать:

- производственную, социальную, регулятивную, культурную, конкурентоспособную, финансовую и политическую среду;

- сильные и слабые стороны, возможности и источники рисков организации;

- восприятия и ценности внешних заинтересованных сторон; основные производственные движущие силы и тенденции.

Установление внутренней ситуации. Прежде чем менеджмент рисков начнет внедряться на уровне всей организации или на уровне процессов в подразделениях, представляется целесообразным понять процессы, происходящие в организации и внутреннюю среду, включая:

- культуру;

- внутренние заинтересованные стороны;

- организационную структуру;

- ресурсное обеспечение (люди, системы, процессы, капитал);

- цели, а также задачи и стратегию, которые установлены для их достижения.

Установление внутренней ситуации позволяет организации сосредоточиться на своих сильных и слабых сторонах для выполнения стратегических и тактических задач или задач, определенных проектом, в соответствии с восприятиями или ожиданиями заинтересованных сторон.

4.1.2 Идентификация рисков

Этот этап процесса менеджмента рисков идентифицирует риски, которые будут влиять на достижение целей и задач организации или конкретной деятельности. Всесторонняя идентификация с применением хорошо структурированного систематического процесса имеет большое значение, поскольку риск, не идентифицированный в рамках этого элемента процесса, может быть исключен из дальнейшего анализа. Идентификация должна включать риски независимо от того, управляет ими организация или нет.

Идентификация рисков включает идентификацию источника риска, события и потенциальные последствия. Оценка идентифицированных источников опасности проводится далее в рамках процесса анализа рисков. Если возможно, идентификация рисков может также предусматривать или не предусматривать возможность потенциального управления риском.

Риск ассоциируется с такими понятиями, как:

- источник риска или источник опасности, которые могут причинить потенциальный вред или содействовать проявлениям со стороны потенциально опасных объектов (химического вещества, конкурентов, регулятивных требований);

- событие или явление, которые могут стать причиной или инициируют последствия таким образом, что соответствующий источник риска вызывает соответствующее воздействие (например, разрушение вызывает утечку, конкурент активизируется или покидает данную область рынка, новые или пересмотренные технические регламенты);

- последствие, которое является результатом или воздействием на несколько заинтересованных сторон или на имеющиеся средства (например, ущерб для окружающей среды, потеря или увеличение сегмента на рынке или прибылей, технические регламенты, повышающие или понижающие конкурентоспособность);

- причина, которая, как правило, бывает прямой или косвенной (может быть несколько прямых или основных причин) и обусловлена присутствием источника опасности или наступлением конкретного события (например, проектирование, вмешательство человека, финансирование, прогноз или неудачный прогноз относительно деятельности конкурента, активизация или неудача присутствия на рынке);

- средства управления и уровень их эффективности (например, системы обнаружения, очистные системы, политика, безопасность, подготовка и обучение кадров, исследования рынка и надзор рынка);

- место и время возникновения риска.

Прежде всего необходимо всесторонне рассмотреть и определить перечень источников риска и связанных с ними событий, которые могут оказать воздействие на выполнение идентифицированных задач (улучшить, предупредить, помешать или отложить их достижение). После этого идентифицированные события и риски рассматриваются более подробно с целью определения их возможных последствий.

4.1.3 Анализ риска

Представляет собой структурированный процесс, целью которого является определение как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы. Посредством проведения анализа риска предпринимаются попытки ответить на три основных вопроса: что может выйти из строя или произойти (идентификация опасности), с какой вероятностью это может произойти (анализ частоты), каковы последствия этого события (анализ последствий).

Риск присутствует в любой человеческой деятельности. Он может относиться к здоровью и безопасности (учитывая, например, как немедленные, так и долгосрочные последствия для здоровья от воздействия токсичных химических продуктов). Риск может быть экономическим, например, приводящим к уничтожению оборудования и продукции вследствие пожаров, взрывов или других аварий. Он может учитывать неблагоприятные воздействия на окружающую среду[4]. Задачей управления рисками является контроль, предотвращение гибели людей, снижение заболеваемости, снижение ущерба, урона имуществу и других производственных потерь, а также воздействия на окружающую среду.

Для повышения эффективности менеджмента рисков необходимо проводить предварительный анализ риска, включающий следующие элементы:

- идентификация риска и определение подходов к решению связанных с ним проблем;

- использование объективной информации при принятии решений;

- удовлетворение регламентированных требований к риску.

Результаты анализа риска могут использоваться специалистом, принимающим решение, при оценке допустимости риска, а также при выборе между потенциальными мерами по снижению или устранению риска. С точки зрения специалиста, принимающего решение, к основным достоинствам анализа риска относятся следующие:

- систематическая идентификация потенциальных опасностей;

- систематическая идентификация возможных видов отказов;

- количественные оценки или ранжирование рисков;

- оценка надежности возможных модификаций системы для снижения риска и достижения предпочтительных уровней ее надежности;

- выявление факторов, обусловливающих риск, и слабых звеньев в системе;

- более глубокое понимание устройства и функционирования системы;

- сопоставление риска исследуемой системы с рисками альтернативных систем или технологий;

- идентификация и сопоставление рисков и неопределенностей;

- помощь в установлении приоритетов при совершенствовании санитарных требований и норм;

- формирование базы для рациональной организации профилактического обслуживания, ремонта и контроля;

- обеспечение возможности поставарийного расследования и мер по предупреждению аварий;

- возможность выбора мер и приемов по обеспечению снижения риска.

Все эти факторы играют важную роль в эффективном управлении рисками независимо от того, какие задачи рассматриваются (охрана здоровья, безопасность, предотвращение экономических потерь, обеспечение выполнения требований постановлений правительства и т.п.).

Анализ может охватывать такие области специальных знаний, как:

- системный анализ;

- вероятность и статистика;

- химическая технология, машиностроение, электротехника, строительная техника или ядерная техника;

- физические, химические или биологические науки;

- медицинские науки, в том числе токсикология и эпидемиология;

- общественные науки, в том числе экономика, психология и социология;

- влияние человеческого фактора, эргономика и наука управления.

Опасности могут быть отнесены к следующим четырем основным категориям:

- природные опасности (наводнения, землетрясения, ураганы, молния и т.д.);

- технические опасности, источниками которых являются промышленное оборудование, сооружения, транспортные системы, потребительская продукция, пестициды, гербициды, фармацевтические препараты и т.п.;

- социальные опасности, источниками которых являются вооруженные нападения, войны, террористические акты, инфекционные заболевания и т.д.;

- опасности, связанные с укладом жизни (злоупотребление наркотиками, алкоголь, курение и т.д.).

Очевидно, что данные группы не являются взаимоисключающими. Так, при анализе технических опасностей часто бывает необходимо учитывать влияние факторов из других категорий (в особенности природных опасностей) и других систем в качестве части анализа риска.

Риск также может быть классифицирован исходя из характера возможных последствий. Например, характер последствий может быть:

- индивидуальным (воздействие на отдельных людей);

- профессиональным (воздействие на работающих);

- социальным (общее воздействие на сообщество людей);

- приводящим к имущественному урону и экономическим потерям (нарушения деловой деятельности, штрафы и т.д.);

- касающимся окружающей среды (воздействие на землю, воздух, воду, флору, фауну и культурное наследие)[5].

Общей задачей анализа риска является обоснование решений, касающихся риска. Такого рода решения могут приниматься как часть более крупного процесса управления рисками посредством сопоставления результатов анализа риска с критериями допустимого риска. Во многих ситуациях возникает необходимость оценить преимущества того или иного решения.

В целом выбор критериев допустимого риска является достаточно сложной задачей, особенно в социальной, экономической и политической областях.

4.1.4 Оценивание риска

Оценка риска является важнейшей составляющей общей системы управления риском. Она представляет собой процесс определения количественным или качественным способом величины (степени) риска посредством установления критериев риска, ранжирования рисков и определения приоритетов.

5 Риск-менеджмент в соответствии со стандартами серии ISO 31000

Стандарт ISO 31000 описывает общие подходы, предоставляет принципы и руководства по систематическому, понятному и надежному менеджменту любого вида рисков в рамках любой области применения.

Одновременно был опубликован ISO Guide 73:2009 - Словарь управления риска, как дополнение к ISO 31000, дающий определения понятий, относящихся к управлению рисками.

Другой заслуживающий внимания документ в этой серии – ISO 31010. Данный международный стандарт - поддерживает стандарт ISO 31000 и обеспечивает руководство по выбору и применению систематических методов оценки риска. Применение ряда методов представляется в форме специальных ссылок на другие международные стандарты, где концепция и применение методов описываются более подробно.

Организации всех типов и уровней сталкиваются с внутренними и внешними факторами и воздействиями, которые вызывают неопределенность, достигнет ли организация и когда свои цели. Результатом воздействия этой неопределенности на цели организации является «риск».

Тогда как все организации, в той или иной мере, занимаются управлением рисками, стандарт ISO 31000 устанавливает ряд принципов, необходимых для осуществления результативного риск-менеджмента. Этот стандарт рекомендует организациям разрабатывать, внедрять и постоянно улучшать структуру, цель которой - интегрировать процесс риск-менеджмента в общее управление организацией, стратегию, планирование, менеджмент, процессы отчетности, политики, ценности и культуру организации.

ISO 31000 разработан, чтобы помочь организациям:повышать вероятность достижения целей;

- стимулировать упреждающий менеджмент;

- осознавать потребность в идентификации и обработке рисков во всей организации;

- улучшать идентификацию возможностей и угроз;

- соответствовать соответствующим организационным, законодательным и нормативным требованиям и международным нормам;

- улучшать обязательную и добровольную отчетность;

- улучшать управление;

- улучшать доверие заинтересованных лиц;

- создать надежный базис для принятия решений и планирования;

- улучшать меры управления;

- эффективно распределять и использовать ресурсы для обработки риска;

- улучшать операционную результативность и эффективность;

- улучшать результативность мер, направленных на защиту здоровья, безопасности и окружающей среды;

- совершенствовать подходы по предотвращению потерь и менеджменту инцидентов;

- минимизировать убытки;

- улучшить обучение в организации;

- улучшить устойчивость организации.

Стандарт ISO 31000 будет полезен для широкого круга заинтересованных сторон, включая:

- ответственных за разработку политики риск-менеджмента в их организации;

- ответственных за обеспечение результативного риск-менеджмента во всей организации или в отдельных ее структурах, проектах или деятельности;

- тем, кому необходимо выполнять оценку результативности риск-менеджмента организации;

- разработчикам стандартов, руководств, процедур и кодексов практики, которые в целом или частично устанавливают как должен осуществляться менеджмент рисков в контексте этих документов.

6 Информация об ООО «Афипский нефтеперерабатывающий завод»

Общество с ограниченной ответственностью «Афипский нефтеперерабатывающий завод» (далее - ООО «Афипский НПЗ») является предприятием по переработке нефти и газового конденсата.

6.1 Историческая справка

ООО «Афипский НПЗ» как предприятие нефтехимической промышленности введено в эксплуатацию в начале 1964 года.

В состав ООО «Афипский НПЗ» (далее–Общества) входят следующие производственные подразделения:

  • технологические установки ТУ СПГК и ТУ типа 22/4,

  • цех промежуточных резервуарных парков и межцеховых коммуникаций (ЦПРП и МЦК);

  • цех резервуарных парков, перекачек и коммуникаций (ЦРППиК);

  • эстакады по сливу нефти и наливу нефтепродуктов и реагентного хозяйства;

  • контрольная лаборатория – ОТК,

Деятельность технологических цехов обеспечивают:

  • главный энергетик (цех теплогазоводовоздухоснабжения и канализации, электроцех с электротехнической лабораторией);

  • главный технолог;

  • главный механик (ремонтно – механический цех, ремонтно – хозяйственный участок);

  • отдел технического надзора с лабораторией неразрушающего контроля;

  • главный метролог (цех КИП и автоматики);

  • диспетчерская служба производственного отдела;

  • транспортный цех;

  • цех отгрузки готовой продукции;

  • отдел информационных технологий.

Экологическую и профессиональную безопасность обеспечивают:

  • отдел по охране окружающей среды;

  • отдел охраны труда, промышленной безопасности и производственного контроля;

  • цех очистных сооружений;

  • газоспасательный отряд;

  • служба мониторинга;

  • отдел информационных технологий.

6.2 Спектр работ ООО «Афипский НПЗ»

Подразделения Общества выполняют следующие виды работ:

  • переработка нефти и газового конденсата;

  • производство, хранение и (при необходимости) продажа нефтепродуктов;

  • очистка нефтесодержащих и хозяйственно – бытовых стоков.

6.3 Об интегрированной системе менеджмента на ООО «Афипский НПЗ»

В ООО «Афипский НПЗ» разработана, документально оформлена и функционирует Интегрированная Система менеджмента качества, окружающей среды, профессионального здоровья и безопасности в соответствии с требованиями международных стандартов ISO 9001, ISO 14001 и OHSAS 18001, обеспечивающая соответствие деятельности Общества установленным требованиям.

Описание интегрированной системы менеджмента (далее по тексту – ИСМ) представлено в Руководстве по ИСМ. Руководство по ИСМ выполняет функцию нормативно – справочного документа по ИСМ и используется при её внедрении, поддержании в рабочем состоянии и выявлении областей для улучшения и совершенствования системы.

Область ИСМ ООО «Афипский НПЗ» распространяется на транспортировку, хранение, переработку нефти и газового конденсата и реализацию нефтепродуктов.

7 Внедрение на предприятии системы риск-менеджмента на основе стандартов ИСО серии 31000

7.1 Что дает предприятию система риск-менеджмента

Организации всех типов и размеров оказываются перед внутренними и внешними факторами и воздействиями, которые вносят неопределенность в достижение поставленных целей. Эффект, который эта неопределенность имеет на достижении целей организации, является «риском». Все действия организации связаны с риском. Организации управляют риском, идентифицируя его, анализируя и затем оценивая, должен ли риск быть изменен обработкой, чтобы удовлетворить критериям риска[3].

Наличие системы риск-менеджмента, соответствующей требованиям стандарта ISO 31000 позволит предприятию:

- выявлять и минимизировать риски в масштабах всей организации;

- совершенствовать финансовую отчетность;

- повысить эффективность управления;

- повысить уровень доверия заинтересованных сторон;

- создать надежную основу для принятия решений и планирования;

- эффективно распределять и использовать ресурсы для минимизации риска;

- минимизировать потери;

- укрепить имидж организации[7].

7.2 Внедрение системы риск-менеджмента в организации

Чтобы продвигать менеджмент риска организации в соответствии с ISO 31000 рекомендуется предпринять пять «простых» шагов:

- определение понятий риска и менеджмента риска;

- принятие «процесса менеджмента риска»;

- принятие «системы менеджмента риска»;

- оценка зрелости системы менеджмента риска;

- разработка плана для старта и сохранения движения системы менеджмента риска.

Шаг 1 - Определение понятий риска и менеджмента риска

Много практиков менеджмента риска уже осознали, что очень трудно осуществить эффективный менеджмент риска в организации, если у менеджмента, особенно на старшем уровне, нет понимания риска и как им можно управлять. Стандарт ISO 31000 нацелен на риск, являющийся неопределенностью, которая находится между организацией и ее целями. Эта концепция довольно проста и очень важна для менеджеров и руководителей. Она подразумевает нисходящий подход, где менеджмент риска становится ключевым процессом, чтобы позволить организации определить и достигнуть своих целей. Главная цель процесса менеджмента риска состоит в обработке причин риска, таким образом, чтобы увеличить вероятность и размер желательного последствия и наряду с этим, действовать так, чтобы сократить вероятность и размер вредного последствия.

Если менеджеры, особенно высшее руководство, не оценят эти концептуальные понятия для риска и менеджмента риска, тогда никакие реальные успехи не могут быть сделаны во внедрении стандарта.

Шаг 2 - Принятие «процесса менеджмента риска»

В стандарте ISO 31000 используется процесс менеджмента риска для управления всеми формами риска.

Установление контекста. Процесс менеджмента риска должен начинаться с определения того, что мы хотим достигнуть и попыткой понять внешние и внутренние факторы, которые могут влиять на успех в достижении наших целей. Этот шаг называют «установление контекста» и он является существенным предшественником идентификации риска. Важной частью установления контекста является идентификация наших заинтересованных лиц, понимание их целей, для того, чтобы мы могли решить, как вовлечь их и принять их цели во внимание при установлении критериев риска. Анализ заинтересованных лиц часто рассматривается как часть шага «коммуникации и консультации», деятельности, которая продолжается в течение всего процесса менеджмента риска.

Следующие три элемента процесса «идентификация», «анализ» и «оценивание» риска включают то, что обычно называют «оценкой риска».

Идентификация риска вовлекает применение систематического процесса, чтобы понять то, что могло произойти, как, когда и почему. Формирование понимания причин рисков жизненно важно для принятия адекватных форм обработки риска. Отказ использовать систематический процесс для идентификации риска может привести организации к концентрации своего внимание на «хорошо известных» рисках и, следовательно, пропустить те, что «мало известны» или «вообще неизвестны», которые впоследствии никогда нельзя будет адекватно обработать. Идентификация риска должна также идентифицировать существующие средства контроля, которые изменяют последствия или их вероятность.

Анализ риска касается развития понимания каждого риска, его последствий и вероятности этих последствий. Он вовлекает намного больше, чем простое применение матрицы (или карты рисков), которые используют некоторые организации для осуществления ранжирования рисков. Например, понимание эффективности существующих средств контроля и их недостатков, является жизненно важной частью анализа риска и должно быть исследовано прежде, чем будет принято заключение об уровне риска.

Оценивание риска вовлекает принятие решения об уровне или приоритете каждого риска через применение критериев, развитых при установлении контекста. Риски располагаются по приоритету для рассмотрения и далее проводится анализ экономической эффективности, чтобы определить целесообразность их обработки.

Обработка риска - процесс, которым улучшаются существующие средства контроля или разрабатываются и осуществляются новые. Средства контроля - пути, которыми стремятся изменить риски. Они могут считаться «инструментами реализации» для наших целей. Обработка риска обычно вовлекает действия, которыми стремятся изменять или вероятность последствий или тип и величину этих последствий.

Различные варианты для обработки риска всегда необходимо принимать во внимание. Решение о наиболее приемлемом варианте для организации при преследовании цели, может быть принято посредством проведения анализа экономической эффективности различных вариантов. Этот анализ должен быть далее переведен на определенные действия или задачи, которые формируют «план обработки риска».

Мониторинг и обзор. Новые риски появляются, а существующие риски изменяются, поскольку внутренняя и внешняя среда организации изменяется. Иногда эти изменения происходят из-за того, что обработка риска вводит новые риски. Часто мы находим, что риски изменились, потому что средства контроля, на которые мы возможно опирались долгие годы, стали несоответствующими или неэффективными. Если организация не осуществляет мониторинг изменения ее внутреннего и внешнего контекста и обзор того, остаются ли ее средства контроля эффективными, тогда понимание рисков, которым подвергается организация и уровни этих рисков могут быть неправильными.

Один из самых эффективных способов осуществления мониторинга рисков посредством просмотра окружения людьми, в обязанность которым вменяется обеспечение своевременной и соответствующей оценки, и обработки каждого риска. Таких людей называют «владельцами риска». Точно так же «владельцы средств контроля», являются ответственными за обеспечение того, что средства контроля остаются соответствующими и эффективными. Владельцы средств контроля делают это через запланированные программы безопасности, основанные на подходах, таких как самооценка средств контроля или систем менеджмента.

Другое очень эффективное средство для мониторинга и обзора риска и средств контроля в организации это стремление учиться на успехах и неудачах, и делать это последовательно. Обычно, это адресовано использованию анализа первопричин, чтобы гарантировать, что причины систематически идентифицируются. Важно то, что это приводит к извлечению уроков и принятию мер, которые позволяют повторить успехи и предотвратить неудачи в будущем.

Шаг 3 - Принятие «системы менеджмента риска»

Раздел 4 ISO 31000 содержит рекомендации относительно того, как система должна разрабатываться, осуществляться, совершенствоваться и быть эффективной. Схема шагов, приведенных в этом разделе стандарта, основана на модели менеджмента качества «Деминга»: Plan - Do - Check - Act. Именно это объединяет ISO 31000 со всеми стандартами серии ISO. Все аспекты управления связаны с неопределенностью в достижении целей таких как: репутация, удовлетворение заказчиков, качество, безопасность здоровья и окружающей среды и это делает ISO 31000 ключевым в «интегрированных системах управления».

Шаг 4 - Оценка зрелости системы менеджмента риска

Некоторые организации, которые попытались осуществить некоторые формы менеджмента риска в прошлом, были неосмотрительными или следовали за несовершенным стандартом. Из-за этого можно часто столкнуться с дисфункциональными системами менеджмента риска, которые рассматриваются только с точки зрения представления отчетности о рисках, а не с их эффективной обработкой.

Раздел 3 ISO 31000 содержит список практических и важных «принципов», которые должны служить отправной точкой для оценки зрелости системы менеджмента риска. Фактически первый принцип третьего раздела заключается в том, что менеджмент риска должен увеличивать стоимость организации.

Приложение к ISO 31000 также содержит список признаков, которые представляют совершенство менеджмента риска. Они должны восприниматься как перспектива при постановке целей для осуществления хорошего процесса и системы менеджмента риска.

Шаг 5 - Разработка плана для старта и сохранения движения системы менеджмента риска

Необходимо, чтобы человек или команды, которые ведут деятельность в области менеджмента риска, создали план, показывающий меры, которые будут предприняты первоначально, чтобы «запустить» менеджмент риска согласно ISO 31000. Этот план должен быть тщательно разработан, поскольку он станет основой для эффективного менеджмента риска и путеводителем, за которым последует целая организация.

План должен включать:

  • проведение анализа и оценку зрелости;

  • назначение спонсора и получение ясных полномочий;

  • установление реалистического расписания (годы);

  • получение бюджета (и требующейся помощи);

  • затраты достаточного количества времени для подготовки и принятия решения по запуску менеджмент риска;

  • притирка в процессах;

  • определение «ранних последователей» для надежного начала работы с ними;

  • определение «единомышленников» для привлечения их позже;

  • рассмотрение возможности для демонстрации успехов менеджмента риска.

План должен включать стратегию, которая будет принята, чтобы задействовать менеджмент в нижележащих слоях организации, поскольку система менеджмента риска строитсясверху вниз.

Часто организации начинают менеджмент риска успешно, но после первых нескольких месяцев, процесс может застопориться, и импульс движения теряется. Это может явиться результатом изменения в штате или лидерстве, но часто происходит, потому что высшее руководство предполагает, что менеджмент риска больше не нуждается в их внимании, которое отвлекается к некоторой другой инициативе или проекту. Чаще всего такие проблемы возникают вследствие восприятия менеджмента риска как краткосрочной «инициативы» или «проекта» и нет никакого понимания, что осуществление внедрения системы риск-менеджмента требует существенного изменения культуры. Некоторые изменения могут произойти быстро, но это действительно требует серьезных усилий и внимания менеджмента, чтобы сделать менеджмент риска саморазвивающимся. По этим причинам для организаций также важно запланировать то, как они поддержат, подкрепят, улучшат и адаптируют свои подходы к менеджменту риска в период изменения внешнего и внутреннего контекста[8].

Ключевые действия, чтобы сделать систему менеджмента риска саморазвивающейся включают:

- встраивание процессов менеджмента риска в ключевые бизнес- процессы. Например, используя оценку риска в качестве части менеджмента изменений, объединяя разработку стратегического плана с оценкой риска и анализом первопричин, выстраивая ответственность и навыки линейного менеджмента в пересмотре и обеспечении средств контроля;

- применение исполнения процессов менеджмента к менеджменту риска, как на персональном уровне, так и на уровне организации. Это вовлечет линейный менеджмент в создание, ответственности за их собственные планы менеджмента риска, укрепление ответственности за риски и средства контроля посредством осуществления мониторинга и отчетности с использованием информационной системы менеджмента риска и настройкой системы периодической самооценки менеджмента и последующей ее верификации путем проведения внутреннего аудита.

7.3 Обоснование разработки внутреннего документа по идентификации рисков на ООО «Афипский НПЗ»

После изучения теоретической информации по внедрению системы риск-менеджмента на предприятии, была разработана методическая инструкция по выбору и реализации методов анализа риска на ООО «Афипский НПЗ». Выбор именно методической инструкции обоснован тем, что методическая инструкция - документ, устанавливающий единые нормы и правила выполнения отдельных видов работ, поясняющий требования стандарта и не вошедшие в него в силу специфики работ, а также осуществление контроля по их выполнению. Чаще всего методические инструкции регламентируют порядок проведения работ на предприятии, а стандарты организаций, в свою очередь, могут разрабатываться на продукцию, процессы и услуги, оказываемые в данной организации. Одной из главных проблем является то, что правила к методическим инструкция не нормированы какими-либо нормативными документами. Организации сами решают эту проблему, и поэтому так как на ООО «Афипский НПЗ» не внедрена система риск-менеджмента было принято решение начать ее внедрение с методической инструкции, а не со стандарта организации.

Еще одно достоинство методической инструкции в том, что она может разрабатываться любым структурным подразделением предприятия. Разработчиком может являться как один работник структурного подразделения предприятия, так и группа работников. Это также положительно влияет на начало внедрения системы риск-менеджмента с методической инструкции, так как таким образом мы экономим бюджет предприятия, не привлекая тем самым сторонних лиц к разработке внутреннего документа.

Заключение

Успех менеджмента риска будет зависеть от эффективности системы управления, обеспечивающей основы и мероприятия, которые будут включены на всех уровнях организации. Система менеджмента риска, изложенная в ISO 31000, предназначена помочь организации интегрировать менеджмент риска в свою систему управления, поэтому, организация должна приспособить компоненты системы к своим специфическим потребностям.

В результате выполнения работы были достигнута поставленная цель, то есть был разработан внутренний документ ( методическая инструкция) по выбору и реализации методов анализа риска, а также решены следующие задачи:

- раскрыта сущность и содержание международных стандартов серии ISO 31000, а также изучены российские стандарты в данной области;

- определено значение и функционирование системы управления рисками;

- установлен порядок проведения идентификации и оценки риска.

Список использованных источников

  1. Балабанов И.Т. Риск-менеджмент. - М.: Финансы и статистика, 1996.

  2. Грабовой П. Г. . Риски в современном бизнесе. - М.: Аланс, 1994. -240c.

  3. Клейнер Г. Риски промышленных предприятий. Российский экономический журнал. 1994 - № 5-6

  4. Ойгензихт В. Проблема риска промышленных предприятий. - М.: Прогресс, 1994. 238c.

  5. Романов В. С. Понятие рисков и их классификация как основной элемент теории рисков. Инвестиции в России. - 2000г. - № 12. – с.41-43.

  6. Романов В. С. Управление рисками: этапы и методы. Факты и проблемы практики менеджмента: Материалы научно-практической конференции 30 октября 2001 г. - Киров: Изд-во Вятского ГЛУ, 2001 г.- с. 71-77

  7. Станиславчик Е. Н. Риск-менеджмент на предприятии. Теория и практика. М.: «Ось-89», 2002. - 80 с.

  8. Хохлов Н.В. Управление риском. - М.: Юнити-дана, 1999.- 239с.

Просмотров работы: 8627