Содержание к диссертации
Введение
Глава 1. Теоретические основы совершенствования менеджмента качества организации с учетом рисков 16
1.1.Проблемы глобальных и локальных рисков в современном мире 16
1.2. Роль и цели управления рисками в системе менеджмента качества 39
1.3. Совершенствование системы менеджмента качества на основе управления рисками 66
Выводы 1 главы 86
Глава 2. Вероятностные модели управления рисками в системе менеджмента качества 89
2.1. Методы оценки и управления рисками в системе менеджмента качества 89
2.2. Математические основы определения рисков в системах менеджмента организации 114
2.3. Вероятностные модели формирования рисков в системе процессов менеджмента качества 151
Выводы главы 2 166
Глава 3. Экономические модели оптимизации рисков в системе менеджмента качества организации 168
3.1. Научные подходы к понятию рисков как экономической категории 168
3.2. Методологические основы формирования экономических моделей оптимизации рисков в системе менеджмента качества в организации 183
3.3. Методические рекомендации для экономической оптимизации рисков в системе менеджмента качества организации 203
Выводы главы 3 211
Глава 4. Формирование вероятностных моделей оценки рисков в системе менеджмента качества кредитных организаций 213
4.1. Содержание рисков целей системы менеджмента качества при процессном подходе в кредитных организациях 213
4.2. Характеристики элементов риск-менеджмента в кредитной организации 233
4.3. Методические рекомендации по применению вероятностных моделей идентификации и оценки рисков в системе менеджмента качества кредитной организации 256
Выводы главы 4 303
Заключение 305
Библиографический список 305
Приложения 356
- Роль и цели управления рисками в системе менеджмента качества
- Вероятностные модели формирования рисков в системе процессов менеджмента качества
- Методические рекомендации для экономической оптимизации рисков в системе менеджмента качества организации
- Методические рекомендации по применению вероятностных моделей идентификации и оценки рисков в системе менеджмента качества кредитной организации
Роль и цели управления рисками в системе менеджмента качества
По мере развития всеобщего менеджмента качества проблемы рисков привлекают все большее внимание ученых и практиков. Однако достижения в области управления рисками в системе менеджмента качества (СМК) пока скромнее, чем развитие общих управленческих аспектов систем качества.
Изменяющиеся экономические условия мирового развития и соответствующие им современные системы менеджмента качества характеризуются новыми требованиями к системам управления рисками, процессов их оценки, измерения и моделирования, а также инструментов планирования сценариев бизнес-процессов. Поэтому инструменты и средства риск-менеджмента в СМК нуждаются в постоянном совершенствовании и модернизации, чтобы быть востребованными и применимыми в реальной практике. В настоящее время управление рисками в свете принятия новой версии ГОСТ Р ИСО 9001-2015 становится одним из значимых элементов СМК, что определяет актуальность вопросов управления рисками в области качества.
Особенность версии стандарта состоит в том, что в нем заложено мышление, основанное на рисках (риск-ориентированное мышление). Хотя концепция риск-ориентированного мышления всегда подразумевалась в МС серии ISO 9001, однако новая версия международного стандарта делает риск ориентированное мышление более значимым и включает управление рисками как обязательное требование при разработке, внедрении, обеспечении функционирования и постоянном улучшении СМК. Не все процессы организации обладают одним и тем же уровнем риска с точки зрения их влияния на способность организации достигать своих целей, равно как и последствия несоответствий в процессах, продукции, услугах или системе не одинаковы для разных организаций. В некоторых организациях последствия поставки несоответствующей продукции или предоставления несоответствующих услуг могут приводить лишь к незначительным неудобствам для потребителя, тогда как в других случаях несоответствия могут привести к далеко идущим последствиям и даже к фатальному исходу.
Поэтому риск-ориентированное мышление означает необходимость количественного (и, в зависимости от условий функционирования организации, качественного) рассмотрения риска при принятии решения о строгости и глубине подхода к планированию и управлению как системой менеджмента качества, так ее процессами и видами деятельности. В требованиях международного стандарта ИСО серии 9000 особое внимание уделяется предупреждению возникновения рисков для обеспечения устойчивого развития. В соответствии с новыми обязательными требованиями стандарта, любая организация должна проводить анализ окружающей ее среды или, так называемого, окружения организации и планировать риски. Вместе с тем, организация может применять более расширенный подход к риск-менеджменту, чем это требуется в международном стандарте ГОСТ Р ИСО 9001-2015 в соответствии с конкретной ситуацией, использовать многие другие руководящие документы, содержащие указания по риск-менеджменту.
Риск-менеджмент достаточно развитое самостоятельное направление теории управления, основные положения которой изложены в стандартах, в том числе в ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство», включающем базовые принципы, руководящие указания и методические основы менеджмента рисков, а также в других нормативных документах, в том числе в зарубежных стандартах FERMA, COSO и других.
Таким образом, наличие систем менеджмента качества на основе МС ИСО серии 9000 и интегрированных с ними систем управления рисками в соответствии с выбранными рекомендациями, например, ГОСТ Р 31000, FERMA, COSO ERM и других, обеспечит гарантированность потребителям и всем заинтересованным сторонам высокий уровень качества продукции и услуг, а также устойчивое развитие организации в будущем.
Рассмотрим некоторые из наиболее известных стандартов и нормативных документов, которые могут применяться при разработке внутрикорпоративных стандартов риск-менеджмента. Для российских предприятий и организаций основным стандартом в данной сфере является стандарт ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство». Основные положения стандарта будут рассмотрены ниже. К этому стандарту прилагаются ряд связанных и сопутствующих стандартов. Основная терминология в области риск-менеджмента изложена в стандарте ГОСТ Р 51897-2011 «Менеджмент риска. Термины и определения». Для оценки рисков, возникающих в производственных процессах, применяется стандарт ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем». Для выбора метода анализа ситуации риска служат рекомендации стандарта ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска», изданного совместно двумя организациями: Международной организацией по стандартизации (ISO – International Organization on Standardization) и Международной электротехнической комиссией (IEC – International Electrotechnical Commission). В стандарте описаны методы, применимые на стадиях идентификации, анализа и сравнительной оценки риска. Здесь наряду с известными методами математической статистики предлагаются также методы статистического моделирования, позволяющие разработать гипотезу (прогноз) в случае неполноты или недостаточности первичной информации.
Также в мировой практике в настоящее время для организации риск менеджмента наиболее часто используется стандарт, разработанный Федерацией Европейских ассоциаций риск-менеджеров – FERMA (Federation of European Risk-Managers Association) и уже упоминавшийся стандарт COSO ERM «Управление рисками организации. Интегрированная модель» в версии 2004 года. Помимо этого, в разных странах действуют стандарты, разработанные национальными обществами и организациями: стандарт управления рисками Австралии и Новой Зеландии (AS/NZS 4360, 2004); Британский стандарт управления рисками (A Risk Management Standard, 2002), представленный Институтом риск-менеджмента, Ассоциацией риск менеджмента и страхования, Национальным форумом риск-менеджмента в общественном секторе (Великобритания). Кроме того, действуют предписания Базельского комитета по банковскому надзору (Basel Committee on Banking Supervision) Базель II: Международные стандарты измерения капитала – доработанное соглашение от 2004 года, и в 2019 году планируется переход на Базель III.
Особенность системы управления рисками по стандарту COSO ERM состоит в том, что организация должна гарантированно обеспечивать блага для владельцев и всех других заинтересованных сторон. Этот стандарт в большей степени ориентирован на повышение достоверности финансовой отчетности компаний и ориентирован на специалистов в области финансового аудита; является обязательным для компаний в некоторых странах, например, в США. Идеология стандарта, описывающая прямую взаимосвязь между целями и компонентами процесса управления рисками организации, представляющими собой действия, необходимые для их достижения, представлена на трехмерной матрице, имеющей форму куба. В стандарте совершенно справедливо акцентировано, что управление рисками связано, в первую очередь, с целями организации, именно с целей начинается анализ рисков. В предлагаемой матрице отражены 4 вида целей: стратегические, операционные, цели подготовки отчетности и цели соблюдения законодательства. Эти цели должны рассматриваться на уровне: компании, подразделения компании, хозяйственной единицы или дочернего предприятия.
Вероятностные модели формирования рисков в системе процессов менеджмента качества
При решении подобных задач возникает необходимость определения значения допустимого уровня риска в условиях частичной неопределенности, связанной с недостаточностью или невозможностью проверки информации, с последующим вычислением вероятностного значения риска и его сравнения с допустимым (следует учитывать, что в условиях полной неопределенности, когда ситуация не статистическая, невозможно определить объективные вероятности и представить характеристики конечной вероятностной схемы вариантов возможных исходов сценария). Помимо этого, анализ риска относится к многокритериальным задачам, для решения которых применяются методы многомерной статистики.
Лучшей практикой для определения величины рисков может быть признана методика оценивания рисков в проектировании и эксплуатации сложных технических объектов [33, 59, 120, 148, 207, 257, 269]. Ее концептуальная направленность базируется на научных подходах теории надежности, в которой основным понятием является отказ. Под отказом понимается событие, приводящее к тому, что рассматриваемый объект полностью или частично перестает выполнять заданные функции, причем полная потеря способности выполнять функции трактуется как полный отказ, частичная потеря – как частичный отказ. Количественная оценка надежности для полного и частичного отказов различаются.
Применительно в деятельности организации выделяется разновидность так называемых инициированных отказов, к которым относятся ошибочные управляющие действия и решения. На первый план выдвигается человеческий фактор, поскольку люди, которым свойственно ошибаться, могут являтся возможными источниками вторичных отказов, если их действия приводят к неправильному функционированию системы.
Надежность работы человека определяется как вероятность успешного выполнения им решения поставленной задачи в течение заданного интервала времени при определенных условиях выполнения работы, а ошибка человека трактуется как невыполнение поставленной задачи (или выполнение запрещенного при выполнении поставленной задачи действия), которое может привести к поломкам оборудования, или нанесению ущерба, или нарушению хода выполнения процесса. По имеющимся в разных источниках данным [25, 59], от 20% до 30% отказов сложных технических систем связываются именно с инициированными отказами, вызванными ошибками человека. Типовой перечень ошибок, связываемых с персоналом, в ходе процессов деятельности организации с полным циклом производства может быть следующим:
Ош.1: ошибки проектирования, в том числе в разработке эксплуатационной документации;
Ош.2: ошибки планирования и организации производства;
Ош.3: ошибки маркетинга и логистики, приводящие к неправильному выбору поставщиков;
Ош.4: ошибки производства, включая отступление от требований конструкторской и технологической документации;
Ош.5: нарушение персоналом требований эксплуатационной документации по используемому оборудованию;
Ош.6: неправильная организация рабочих мест;
Ош.7: ошибки технического обслуживания технической системы, приводящие к неправильной регулировке или калибровке технологического оборудования;
Ош.8: ошибки на стадии технического контроля, вызванные применением несоответствующих средств измерения или нарушением предписанной процедуры контроля и документирования результатов;
Ош.9: нарушение условий хранения или транспортировки готовой продукции;
Ош.10: ошибки управления, приводящие к психологической несовместимости или недостаточной мотивированности работников, и т.д. В общем случае, отказы любого вида систем делятся на два типа: постепенные и внезапные, поэтому для риска, с одной стороны, характерна неожиданность, с другой стороны, появляется возможность прогнозирования риска, его анализа и оценки его влияния с течением времени, что впоследствии может быть использовано для научно-обоснованного выбора управленческих решений по недопущению факторов риска или ослаблению его влияния.
В целях выстраивания методики измерения рисков по процессам организации, предлагаем рассмотреть основы теории надежности [12, 72, 267].
Рассчитывая надежность сложных систем, представляющимися как элементы, по которым установлена линейная структура, предположим, что поток отказов системы может быть простейшим, удовлетворяющим условиям ординарности, отсутствия последствий и стационарности, в связи с чем отказы элементов сложной системы могут являться случайными независимыми событиями. В таком случае вероятность Pc(t) безотказной работы сложной системы будет равна произведению вероятностей безотказной работы ее элементов во времени, в течение времени t [140]
Следовательно, для того, чтобы произвести расчет надежности подобной системы высокого уровня сложности, нужно научится определять интенсивность отказов каждого элемента системы (количество отказов в выбранный интервал времени - это статистический показатель, который рассчитывается в предположении случайности события отказа). Среднестатистические показатели, характеризующие интенсивность отказов можно получить из показателей эксплуатации систем, аналогичных анализируемой.
Характеристикой, которая служит наиболее важным показателем надежности, является время работы системы безотказно – расчетная вероятностная характеристика, демонстрирующая, что в пределах заданного временного интервала возникновения отказов системы не должно возникнуть. Если принять гипотезу о равных надёжностях элементов рассматриваемой системы, которая выражается в том, что все ее элементы характеризуются аналогичной среднестатистической интенсивностью отказов, то интенсивность отказов системы можно выразить суммой
В том случае, если структура системы не является линейной, т.е. между элементами системы взаимодействия происходят попарно, возвратно и перекрестно, то задача становится более сложной. В этом случае простейшая формула для вероятности безотказной работы системы Pc(t), которая выражена через умножение частных вероятностей безотказной работы ее элементов, получается некорректной, и необходимо провести в соответствии со структурой системы оценку вероятностей.
Важно, что в основе расчета вероятности и времени безотказной работы является предположение о том, что система находилась в работоспособном состоянии в начальном моменте времени (начало исчисления наработки). Данное предположение позволяет привлекать в расчет надежности теорию марковских процессов, также называемую динамика вероятностей. Понятно, что рамки применения данной теории ограничены (в частности, уже отмеченным выше условием частичной неопределенности), тем не менее она является необходимой в областях, таких как теория массового обслуживания, теория принятия оптимальных решений, теория надежности, и др., оперирующих понятиями случайных процессов, которые отражают описываемое случайными функциями случайное изменение состояний системы во времени (или в зависимости от другого выбранного аргумента).
В литературе [72, 140, 242, 267], а также в ГОСТ Р 27.301-2011 «Надежность в технике. Управление надежностью Техника анализа безотказности. Основные положения» [14] рекомендуется применение марковских процессов для проведения анализа на надежность. В стандарте указывается на то, что «представление поведения системы посредством модели Маркова требует определения всех возможных состояний системы, которые предпочтительнее изображать схематически в диаграмме состояний и переходов. Помимо этого, необходимо определить интенсивности трансформации из одного состояния в другое (интенсивности событий и отказов, а также восстановлений компонентов, и т.д.). Характерным показателем использования модели Маркова может служить вероятность пребывания изделия в указанном наборе состояний…» Также необходимо указать на главное преимущество этой методики: «возможность получения гибкой вероятностной модели для анализа поведения системы…» (п. А.1 .5.3).
Методические рекомендации для экономической оптимизации рисков в системе менеджмента качества организации
Методические рекомендации для практического применения по экономической оптимизации позиционирования рисков в СМК организации построены на моделях минимизации затрат, представленных в пар. 3.2 [83, 175], и включают следующую последовательность действий (рис. 3.3.1):
1. Составление матрицы перехода рисков для конкретного вида риска на основе рис. 3.2.2 предыдущего параграфа, включающую определение градаций рисков и их последствий, идентификацию точек позиционирования и количества переходов (дуг);
2. Определение изменения потерь или соответствующих величин эффектов в результате каждого перехода;
3. Определение возможных методов управления рисками для каждого перехода (передача, страхование, снижение, избежание) или их комбинации;
4. Определение затрат в соответствии с применяемыми методами управления рисками;
5. Составление таблицы динамических моделей переходов с учетом затрат, эффектов, эффективности.
6. Выявления путей переходов и определение оптимальной траектории.
Рассмотрим практический пример применения данной методики. Например, рассмотрим выбор путей снижения кредитного риска, как риска невозврата выданной кредитной суммы.
1 этап - составление матрицы переходов.
Примем наиболее простую градацию степени потерь, включющую только две позции высокие (от 100 к 50%) и низкие (от 50 до 0%) и, соотвестенно, две градации рисков – высокие (от 100 к 50%) и низкие (от 50 до 0%), тогда количество позиций в матрице рисков будет – 9, а, соотвественно, шагов переходов -12.
2 этап – определение потерь.
Допустим, что при полном невозврате кредита возникнет ущерб 297 244 тыс. рублей. Таким образом, эту сумму можно сопоставить размеру ущерба от стопроцентной реализации риска невыполнения финансовых обязательств заемщиком.
Тогда в соответсвии с этими уровнями вероятностей и уровнями потенциального ущерба от реализации риска для каждой точки позиционирования можно рассчитать стоимость ущерба от реализации риска в денежном выражении в каждой области матрицы. Расчет представлен в таблице 3.3.1. 3 этап – формирование методов управления рисками и составление плана мероприятий по изменению позиционирования в матрице рисков.
В соответствии со спецификой деятельности организации разрабатывается план мероприятий по минимизации уровня кредитного риска. Эти мероприятия на каждом этапе обеспечивают переход организации по направлению из области высокого риска (область под номером 3) в область приемлемого риска, а затем – в область минимального риска.
Методы должны охватывать все 12-ть переходов и формироваться по двум направлениям:
1.Снижение последствий (потерь) рисков при разных уровнях рисков (таких будет 6 видов мероприятий – методов);
2. Снижение рисков в зависмости от возможных потерь (таких видов также будет 6 мероприятий – методов).
Методы снижения последствий для разных уровней рисков можно представить в таблице 3.3.2.
На начальном этапе управления рисками организация находится в зоне высокого риска, возникновение которого очень вероятно и понесет за собой высокий уровень ущерба.
На начальном этапе (при переходе из области высокого риска в область среднего) организация имеет возможность использовать следующие методы управления риском: страхование и лимитирование.
Страхование подразумевает обращение в страховую компанию и формирование за счет денежных взносов целевого страхового фонда, а также его дальнейшего использования для возмещения ущерба и выплаты страховых сумм.
Лимитирование будет заключаться в установлении дополнительных условий для кредитного договора и учетных методик для его проведения.
Резервирование подразумевает формирование резервного фонда организации. Он создается в соответствии с требованиями законодательства и кредитной полиики кредитно-финансовой организации. На его формирование направляется определенная сумма прибыли, полученная в отчетном периоде.
4. Этап – определение затрат на формирование перехода.
После разработки плана мероприятий риск менеджмента следует установить затраты на их осуществление.
В таблице 3.3.4 представлены цены на соответствующие услуги по управлению рисками уредитно-финансовой организации. Эти цены принимаем за затраты на изменение позиционирования предприятия в матрице рисков.
Методические рекомендации по применению вероятностных моделей идентификации и оценки рисков в системе менеджмента качества кредитной организации
Идентификация рисков выступает базовым элементом процесса риск-менеджмента в кредитных организациях. Приоритетное значение на данном этапе имеет использование всей необходимой и доступной информации. Целью процесса идентификации является составление полного перечня рисков, которые могут оказать влияние на достижение целей организации в определенном контексте риск-менеджмента и потери от реализации которых могут оказать существенное влияние на финансовый результат банка.
Процесс идентификации рисков кредитной организации должен включать идентификацию источника риска, события и потенциальных последствий (если возможно, идентификация риска может также рассмотреть возможность управления риском). В результате данного процесса необходимо получить ответы на довольно простые вопросы: что может случиться, когда, где, как и почему? (Рис. 4.3.1).
Цель процесса идентификации банковских рисков состоит в составлении исчерпывающего списка источников рисков и событий, которые могут иметь воздействие на достижение каждой из целей, идентифицированных в контексте. В процессе управления рисками кредитная организация идентифицирует:
полный перечень рисков, присущих деятельности банка;
перечень потенциальных рисков, которым может быть подвержен банк;
перечень значимых для банка рисков.
В качестве классификационных признаков в процессе идентификации типов рисков возможно использовать следующие:
особенности и масштаб банковских операций;
клиентская база банка;
требования действующего законодательства Российской Федерации, в области регулирования банковской деятельности;
исторические потери от реализации рисков (в форме резервов, убытков, претензий клиентов и пр.)
В отдельных случаях, перечни выявленных и значимых рисков могут дополняться по результатам оценки рисков, например, при принятии банком решения о выходе на новые рынки или осуществлении новых операций.
В качестве источника информации при выявлении рисков могут служить различные доступные контрольные списки уже выявленных рисков, которые следует проанализировать на применимость к данному конкретному виду деятельности.
Результатом идентификации рисков должен стать список рисков с описанием их основных характеристик: причины, условия, последствий и ущерба (табл. 4.3.1).
В научных работах российских и зарубежных экономистов (Гранатуров В.М., Ковалев П.П., Рогов М.А., Ларионова И.М., Лаврушин О.И., Печалова М.Ю., Поморина М.А.) [112, 113, 128, 196, 77, 197, 203] в целом сложилось понятие и классификации банковских рисков. Обзор представлен в Приложении В.
В соответствие с принятой стратегией развития и утвержденной политикой управления рисками в конкретной кредитной организации, перечень значимых рисков может расширятся. В этот перечень также могут входить регуляторный риск, модельный риск, технологический риск, экологический и социальный риски.
На основании информации, полученной в ходе идентификации рисков, появляется возможность разделить выявленные риски на однородные кластеры и систематизировать их. Необходимость классификации связана с тем, что основной причиной возникновения нежелательного события является неопределенность среды, как внутренней, так и внешней. После классификации рисков формируется полная форма реестра рисков. Исходя из базовых принципов классификации рисков организации, описанных в главе1. разделим все возможные риски КО на две основные группы – риски цели, первичная, исходная группа, связанная с результатами деятельности и риски-факторы, вторая группа рисков – причин отклонений, указывающих на то, что влияет на достижение целей (табл. 4.3.2).
Далее необходим анализ потерь по приведенным факторам. Этот этап требует количественного и качественного анализа потенциальных потерь, а также информации о понесенных банком потерях в прошлом.
На основании рекомендаций стандарта ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» определим качественные и количественные значения рисков как собственно вероятности наступления рисков, так и оценки его последствий.
Теоретически величина вероятности устанавливается в удельных единицах. Последствия наступления событий в хозяйственной деятельности принято измерять в денежных единицах. Однако в большинстве случаев, в связи со сложностью установления точных значений указанных величин, они определяется экспертным путем и оцениваются в баллах. Величина критерия может устанавливаться с точки зрения приемлемых рисков для организации и тогда риски, которые лежат в недопустимой области рисков, отбирают для управления, контроля и мониторинга.
Для получения и обработки количественными методами качественной информации можно также использовать вербально-числовые шкалы, в состав которых входят содержательно описываемые наименования ее градаций и соответствующие им количественные значения или числовые интервалы. Широкое распространение получила вербально-числовая шкала Харрингтона [199] (табл. 4.3.3).