С психологической точки зрения важно, чтобы персонал компании приучился делиться своими озабоченностями, фиксировать опасности (о которых люди знают, но не привыкли сообщать).
Затраты этого этапа (финансовые и временные) достаточно невелики – это отдел управления рисками, некоторые дополнительные совещания, организация обучения менеджеров высшего и среднего звена на кратких курсах управления рисками.
Непосредственную выгоду на этом этапе может принести, например, снижение расходов благодаря более обоснованной политике в области страхования деятельности и объектов компании. Можно утверждать, что затраты окупятся уже тем, что потребители продукции узнают, что у вас ведется активная работа по управлению рисками. Сам факт проведения этой работы – уже конкурентное преимущество. Некоторые рынки (например, аэрокосмическая, атомная промышленность) просто закрыты для производителей, не имеющих систем управления рисками.
Столбец «Начальная стадия существования системы менеджмента риска» табл. 11.1 отражает состояние системы к концу первого этапа развития.
11.2. Второй этап проекта – развитая система ТРМ
Важнейшая задача развития системы на втором этапе – дать компании инструменты управления рисками. В обязательном порядке должны быть утверждены и внедрены методы, которыми компания пользуется при анализе и оценивании рисков.
Уже говорилось, что наиболее легко реализуемый, понятный всему коллективу для анализа рисков, связанных с бизнес-процессами и отказами продукции, можно рекомендовать метод FMEA. Ввиду важности, обширности и сложности данного вопроса рекомендуем выпустить отдельный документ «Положение о порядке анализа рисков», содержащий следующую информацию.
1. Методические основы анализа рисков. (Метод FMEA описан, например, в межгосударственном стандарте «Анализ видов, последствий и критичности отказов» ГОСТ 27.310-95. В этом стандарте содержится в целом вся необходимая информация.)
2. Порядок организации работ по анализу рисков (последовательность действий, ответственность).
3. Утвержденная шкала категорий тяжести последствий отказов.
4. Утвержденная шкала оценки частоты отказов.
5. Утвержденная матрица «Вероятность отказа – тяжесть последствий».
6. Утвержденная шкала балльных оценок критичности отказов, содержащая три таблицы:
6.1) вероятность отказа – оценка в баллах;
6.2) тяжесть последствия – оценка в баллах;
6.3) вероятность обнаружения до проявления последствия – оценка в баллах.
7. Формы рабочих листов метода FMEA.
Необходимо также разработать и утвердить документ «Положение о порядке разработки, проведения мероприятий по снижению рисков и мониторинга результатов», описывающий порядок проведения мероприятий по снижению рисков и систему мониторинга состояния рисков. Перечень пунктов этого документа:
1) перечисление методов снижения рисков;
2) порядок выбора методов по снижению конкретного риска;
3) ответственность за выбор метода;
4) ответственность за мероприятия по снижению рисков;
5) форма отчетов по результатам мероприятий по снижению рисков.
Можно также включить эту информацию в стандарт предприятия.
Если считается, что отдельные объекты, процессы или стороны деятельности компании целесообразно подвергнуть стрессовому тестированию, тогда в отдельном документе нужно описать перечень этих объектов и процессов, моделируемые ситуации и методики. Это документ не для широкого круга пользователей, обычно этим занимается отдел управления рисками, привлекая квалифицированных специалистов предметной области.
На этом этапе уже нужно позаботиться о том, чтобы в должностные инструкции персонала компании включались обязанности, ответственность и права на доступ к информации из системы управления рисками. Например, начальник отдела должен нести ответственность за нереалистичную оценку величины рисков. Рядовой конструктор – за сокрытие информации об опасностях, которые связаны с его проектом. В то же время они должны быть достаточно информированы о тех целях работы и мероприятиях в области управления рисками, которые их касаются. Разумеется, они должны знать о текущем перечне и оценках состояния риска в своей области деятельности.
С информационной точки зрения систему управления рисками компании нужно развить до уровня, когда она уже содержит следующую информацию.
1. Заполненные рабочие формы анализа и мониторинга (их вид на этом этапе вы уже описали в нормативной и регламентирующей документации).
2. Схема предприятия или технической системы в виде набора источников риска.
3. Перечень рисков, содержащий по каждому риску примерно следующее:
3.1) наименование риска;
3.2) область и источник риска;
3.3) подразделение (лицо), ответственное за источники риска;
3.4) событие, возникающее при реализации риска;
3.5) последствие, к которому может привести событие;
3.6) наименование регламента или технического решения по устранению последствия;
3.7) выбранный метод по снижению риска;
3.8) мероприятия по снижению – уже проведенные (с указанием результата), проводимые и намечаемые;
3.9) установленные оценки рисков по методу FMEA с указанием метода их получения (экспертный, экспериментальный, статистический).
Распечатанный отдельно документ, содержащий информацию, приведенную в пп. 3.1–3.9, по одному риску, называется «карточка риска» и очень удобен при обсуждении конкретного риска на совещании или на встрече с персоналом подразделения.
4. Перечень инцидентов, для которых пока не удалось установить, какой риск к ним привел.
5. Отчетные формы системы менеджмента риска (их вид вы описали в нормативной и регламентирующей документации).
Примерно к этому моменту, если вы исполняете обязанности риск-менеджера либо руководите проектом внедрения, вы почувствуете, что пора все это автоматизировать, потому что вы тонете в информации. Именно теперь пора задуматься об автоматизации (см. конец подраздела 11.2).
Критерием жизнеспособности любой системы управления является регулярный обмен информацией между участниками.
...
ВАЖНО
Можно сказать, что система управления внедрена, когда ее участники самостоятельно начали наполнять ее информацией и получать из нее информацию. Важно, чтобы количество информации, которое участники должны поставлять в систему, было минимально необходимым для поставленных целей.
По малозначительным рискам достаточно проводить анализ раз в несколько месяцев либо раз в полугодие. Возможно, по каким-то опасностям достаточная статистическая база появляется только за годовые периоды. С другой стороны, значения некоторых рисков необходимо оценивать ежедневно. Регламентные периоды анализа и сбора информации – важнейший вопрос системы управления рисками.