Научная статья на тему 'Риск, риск-менеджмент и неопределенность: уточнение понятий'

Риск, риск-менеджмент и неопределенность: уточнение понятий Текст научной статьи по специальности «Экономика и бизнес»

CC BY
2437
405
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
Риск / неопределенность / риск-менеджмент / COSO ERM / PMBoK® Guide / M_o_R® / ISO 31000 / PRINCE2® / Risk / uncertainty / risk management / COSO ERM / PMBoK® Guide / M_o_R® / ISO 31000 / PRINCE2®

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Николаенко Валентин Сергеевич

Среди отечественных и зарубежных ученых нет единой точки зрения относительно того, как необходимо определять термины «риск», «риск-менеджмент» и «неопределенность». Кроме того, в отечественных источниках, посвященных управлению рисками, присутствуют ошибки локализации терминологических понятий, что вводит в заблуждение многих отечественных ученых. По этой причине автор статьи при уточнении базового терминологического аппарата использовал оригиналы сводов лучших практик и стандартов риск-менеджмента, таких как COSO ERM, PMBoK® Guide, M_o_R®, ISO 31000 и PRINCE2®. Полученные результаты позволили установить, что рисковое событие является совокупностью таких элементов, как источник риска, фактор риска и проблемное/благоприятное последствие. Наличие благоприятного последствия, в свою очередь, послужило основанием для дифференциации на негативные и позитивные риски. В этой связи с учетом приращения новых знаний под риск-менеджментом понимается совокупность процессов по оценке негативных/позитивных рисков, принятии управленческих решений по разработке мер воздействия, мониторингу неидентифицированных рисков и контролю идентифицированных рисков. Было установлено, что неопределенность и риск имеют различную природу и свойства. Так, например, неопределенность, как правило, возникает при отсутствии информации, риск же, напротив, всегда предсказуем, так как базируется на ретроспективных данных; неопределенность связана с наступлением стохастических событий, риск же порождается конкретными источниками под воздействием определенных факторов; неопределенность субъективна, риск объективен, так как основывается на количественных данных и фактах

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Risk, Risk Management and Uncertainty: Clarifying the Concepts

There is no common point of view among domestic and foreign scientists on how to define the terms «risk», «risk management» and «uncertainty». Furthermore, Russian sources devoted to risk management contain errors in localization of terminological concepts, which misleads many Russian scientists. For this reason, the author of the article used the original codes of best practices and risk management standards, such as COSO ERM, PMBoK® Guide, M_o_R®, ISO 31000 and PRINCE2®. The results obtained allowed us to establish that a risk event is a combination of elements such as the source of risk, risk factor and problem/favorable consequence. The presence of a favorable effect, in turn, served as the basis for dividing into negative risks and positive risks. In this regard, taking into account the increment of new knowledge, risk management can be understood as a set of processes for assessing negative/positive risks, making management decisions on the development of impact measures, monitoring unidentified risks and controlling identified risks. It was found that uncertainty and risk have different nature and properties. For example, uncertainty usually occurs in the absence of information, while risk, on the contrary, is always predictable, since it is based on historical data; uncertainty is associated with the occurrence of stochastic events, but the risk is generated by specific sources under the influence of certain factors; the uncertainty is subjective, the risk is objective, as it is based on quantitative data and facts.

Текст научной работы на тему «Риск, риск-менеджмент и неопределенность: уточнение понятий»

Николаенко В. С.

Риск, риск-менеджмент и неопределенность: уточнение понятий1

Николаенко Валентин Сергеевич — МВА, старший преподаватель, Томский

политехнический университет, Томск, РФ.

E-mail: nikolaenkovs@tpu.ru, masterrisk@ya.ra

SPIN-код РИНЦ: 9301-1835

ORCID ID: 0000-0002-1990-4443

Аннотация

Среди отечественных и зарубежных ученых нет единой точки зрения относительно того, как необходимо определять термины «риск», «риск-менеджмент» и «неопределенность». Кроме того, в отечественных источниках, посвященных управлению рисками, присутствуют ошибки локализации терминологических понятий, что вводит в заблуждение многих отечественных ученых. По этой причине автор статьи при уточнении базового терминологического аппарата использовал оригиналы сводов лучших практик и стандартов риск-менеджмента, таких как COSO ERM, PMBoK® Guide, M_o_R®, ISO 31000 и PRINCE2®. Полученные результаты позволили установить, что рисковое событие является совокупностью таких элементов, как источник риска, фактор риска и проблемное/благоприятное последствие. Наличие благоприятного последствия, в свою очередь, послужило основанием для дифференциации на негативные и позитивные риски. В этой связи с учетом приращения новых знаний под риск-менеджментом понимается совокупность процессов по оценке негативных/позитивных рисков, принятии управленческих решений по разработке мер воздействия, мониторингу неидентифицированных рисков и контролю идентифицированных рисков. Было установлено, что неопределенность и риск имеют различную природу и свойства. Так, например, неопределенность, как правило, возникает при отсутствии информации, риск же, напротив, всегда предсказуем, так как базируется на ретроспективных данных; неопределенность связана с наступлением стохастических событий, риск же порождается конкретными источниками под воздействием определенных факторов; неопределенность субъективна, риск объективен, так как основывается на количественных данных и фактах.

Ключевые слова

Риск, неопределенность, риск-менеджмент, COSO ERM, PMBoK® Guide, M_o_R®, ISO 31000, PRINCE2®.

DOI: 10.24411/2070-1381-2020-10080 Введение

В научной литературе нет общепринятой и устоявшейся трактовки терминов «риск», «риск-менеджмент» и «неопределенность», что создает проблему интерпретации, определения и использования данных понятий в теории и практике управления рисками (Таблица 1).

1 Работа выполнена при финансовой поддержке Международного научного фонда экономических исследований академика Н.П. Федоренко. Проект № 2019-125 «Разработка отечественного стандарта управления рисками на базе ГОСТ Р ИСО 31000:2010. Менеджмент риска».

Таблица 1. Основные точки зрения на определение термина «риск»2

№ Дефиниция термина «риск» Источники

1 Влияние неопределенности на цели (стратегические, тактические, операционные и проектные) ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство3

2 Угроза и/или опасность И.Т. Балабанов [Балабанов 1996], Д.М. Машков [Машков 2014], Е.С. Митяков и С.Н. Митяков [Митяков, Митяков 2018], Ю.В. Трифонов [Трифонов и др. 2018]

3 Неопределенность Д.И. Филимонов [Филимонов 2017], В.Н. Бурков и Д.А. Новиков [Бурков и др. 1997]

4 Условие или неопределенное событие, которое, в случае наступления, оказывает влияние хотя бы на одну цель проекта (длительность, стоимость, качество, содержание) Свод правил проектного управления Project Management Body of Knowledge (PMBOK® Guide)4

5 Событие, которое одновременно несет угрозу, опасность, неопределенность и возможность PricewaterhouseCoopers5

6 Вероятность недополучения доходов и/или вероятность возникновения убытков П.Г. Грабовый, С.Н. Петрова [Грабовый и др. 1994]

7 Совокупность значений возможного ущерба в некоторой стохастической ситуации В.Ю. Королев, В.Е. Бенинг, С.Я. Шоргин [Королев и др. 2011]

S Возможность получения убытков от предпринимательской деятельности Гражданский кодекс Российской Федерации6

9 Неопределенное событие или набор неопределенных событий Management of Risk: Guidance for Practitioners (M o R®)7

10 Неопределенное событие или набор событий, которые, в случае наступления, способны оказать влияние на процесс достижения целей PRojects IN Controlled Environments (PRINCE2®)8

11 Обобщенно: искусственная экономическая категория, совокупно отражающая меру реальности нежелательного отклонения от цели хозяйственной деятельности предприятия и размер обусловленного этим отклонением ущерба Р.М. Качалов [Качалов 2012]

12 Негативная часть неопределенного события, наступление которого может принести организации ущерб и/или выгоду The Committee of Sponsoring Organizations of the Treadway Commission «Enterprise Risk Management» (COSO ERM)9

2 Составлено автором на основе [Николаенко 2018].

3 ГОСТ Р 31010-2011 Методы оценки риска. ISO/IEC 31010:2009 // Консорциум кодекс [Электронный ресурс]. URL: http://docs.cntd.ru/document/gost-r-iso-mek-31010-2011 (дата обращения: 05.04.2020).

4 Project management body of knowledge. Guide 6th edition. Project Management Institute (PMI), 2017 // Project Management Institute [Электронный ресурс]. URL: https://www.pmi.org/pmbok-guide-standards/foundational/pmbok (дата обращения: 05.04.2020).

5 Взгляд на риски. Управление рисками «на передовой». 6-е Ежегодное исследование, июнь 2017 года // PricewaterhouseCoopers [Электронный ресурс]. URL: https://www.pwc.ru/en/riskassurance/publications/assets/risk-inreview-2017.pdf (дата обращения: 14.07.2020).

6 Гражданский кодекс Российской Федерации от 30 ноября 1994 года № 51-ФЗ // КонсультантПлюс [Электронный ресурс]. URL: http://www.consultant.ru/document/cons doc LAW 5142/ (дата обращения: 05.04.2020).

7 Management of Risk: Guidance for Practitioners. Norwich: TSO (The Stationary Office), 2010.

8 Managing Successful Projects with PRINCE2. Norwich: TSO (The Stationary Office), 2017.

9 Enterprise Risk Management. Integrating with Strategy and Performance, 2017 // COSO [Электронный ресурс]. URL: https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf (дата обращения: 05.04.2020).

Критическое осмысление обозначенных в Таблице 1 позиций дает основания заключить, что, говоря о риске, многие специалисты имеют в виду некую неопределенность, которая может оказать влияние на запланированные цели. Такая трактовка, по мнению автора статьи, не отражает в полной мере сущность и природу рискового события и значительно ограничивает практическое применение инструментария риск-менеджмента в проектах и организациях.

Анализ показал также, что в отечественных источниках присутствуют ошибки локализации терминологических понятий, что может ввести в заблуждение многих отечественных ученых. Например, в работе «Как оценить, насколько хороша ваша компания в управлении проектами» автор рассказывает о модели Г. Керцнера, используя при этом терминологический аппарат модели Дж.К. Кравфорда10. В своей публикации М.А. Илышева описывает уровни зрелости модели OPM3, хотя они взяты из модели PM2 [Илышева 2009].

Таким образом, целью статьи является уточнение содержания понятий «риск», «риск-менеджмент» и «неопределенность» за счет локализации терминологического аппарата COSO ERM, PMBoK® Guide, M_o_R®, ISO 31000 и PRINCE2®.

Для достижения поставленных целей были решены следующие задачи:

1) проведена локализация базовых понятий, закрепленных в сводах лучших практик и международных стандартах, таких как COSO ERM, ISO 3100011, PMBoK® Guide, M_o_R® и PRINCE2®.

2) дополнено содержание понятий «риск», «риск-менеджмент» и «неопределенность».

The Committee of Sponsoring Organizations of the Treadway Commission (COSO

ERM)

The Committee of Sponsoring Organizations of the Treadway Commission, или COSO, — это частная некоммерческая организация, созданная в 1985 г. для унификации правил внутреннего контроля корпоративного сектора США с целью борьбы с мошенничеством. На базе лучших практик в области управления рисками COSO разработало свой собственный свод правил Enterprise Risk Management (COSO ERM),

10 Как оценить, насколько хороша ваша компания в управлении проектами // Блог по управлению проектами [Электронный ресурс]. URL: http://project-management.zis.by/drugoe/kak-ocenit-naskolko-horosha-vasha-kompanija-v-upravlenii.html (дата обращения: 05.04.2020).

11 ISO 31000:2018 Risk management — Guidelines. 2th edition. International Organization for Standardization, 2018 // ISO [Электронный ресурс]. URL: https://www.iso.org/standard/65694.html#:~:text=ISQ%2031000%3A2018%20provides%20guidelines,no t%20industry%20or%20sector%20specific (дата обращения: 05.04.2020).

первая версия которого была опубликована в 2004 году, вторая (Enterprise Risk Management. Integrating with Strategy and Performance) — в 2017 году [Paladino et al. 2009].

Необходимо отметить, что COSO не дает собственного определения термина «риск». Вместо этого COSO опирается на концепцию, разработанную PricewaterhouseCoopers (PwC). Согласно PwC, риск — это негативная часть неопределенного события, наступление которого может принести организации ущерб и/или выгоду (Рисунок 1).

Неопределенное событие (Uncertainty)

Риск (Risk)

Возможность (Opportunity)

Наступление неопределенного события понижает/увеличивает коммерческую ценность для заинтересованных сторон

V

Коммерческая ценность (Value for stakeholders)

Рисунок 1. Графическое представление содержания термина «риск» согласно позиции, обозначенной в COSO ERM12

В версиях 2004 и 2017 года позиция относительно содержания и природы риска не изменилась. Однако изменился подход к управлению рисками. Так, в COSO ERM (2004) риск-менеджмент определялся как процесс, реализуемый советом директоров организации, менеджментом и другими сотрудниками, согласованный со стратегией развития организации. В версии 2004 года также говорится о необходимости создания в организации системы управления рисками, называемой risk management framework. Благодаря использованию данной системы для ключевых организационных процессов могут быть идентифицированы «зоны рисков» (Рисунок 2). «Зоны рисков» определяются в COSO ERM (2004) с помощью трех плоскостей: этапы процесса управления рисками; процессы, затрагивающие целеполагание организации; организационные уровни [Al-Kubaisi 2017].

12 Составлено автором на основе Enterprise Risk Management — Integrated Framework (2004) // COSO [Электронный ресурс]. URL: https://www.coso.org/Documents/COSO-ERM-Executive-Summary.pdf (дата обращения: 05.04.2020).

Процесс управления рисками включает в себя восемь этапов:

1) определение текущего состояния внутренней среды организации (internal environment). В процессе определения текущего состояния внутренней среды организации необходимо измерить корпоративную культуру в области риск-менеджмента и понять, что понимает под термином «риск» каждый сотрудник организации;

2) формализация целей организации (objective setting);

3) идентификация вероятных событий, которые могут оказать влияние на процесс достижения целей организации (event identification);

4) оценка риска (risk assessment). Для каждого идентифицированного вероятного события определяются вероятность его наступления и возможное воздействие на коммерческую ценность организации;

5) меры воздействие на риски (risk response);

6) контроль над рисками (control activities);

7) информирование о рисках (information & communication). Вся информация о рисках фиксируется и оперативно передается сотрудникам организации, ответственным за данные риски (владельцам рисков);

8) мониторинг рисков (monitoring). Выявление ранее не идентифицированных вероятных событий, которые могут оказать влияние на процесс достижения целей организации.

Процессы, затрагивающие целеполагание организации, согласно COSO ERM (2004), разделяются на:

1) стратегические цели (strategic);

2) операционные цели (operations);

3) информирование о ходе достижения целей организации (reporting);

4) корреляция между запланированными и фактическими результатами (compliance).

К организационным уровням относятся:

1) рабочее место (business unit);

2) отдел (entity-level);

3) департамент (division);

4) филиал (subsidiary).

Таким образом, предлагаемый COSO ERM (2004) способ построения системы управления рисками предполагает выявление 128 элементов внутри организации, синхронная работа которых позволит нивелировать и ослабить негативное влияние рисковых событий (Рисунок 2).

Рисунок 2. Система управления рисками согласно COSO ERM (2004)13

В 2017 году вышел обновленный свод правил управления рисками. В новой редакции авторы постарались отразить современные тенденции риск-менеджмента, в частности:

- управление рисками организации — это корпоративная культура, компетенции и практики, которые распространяются во всей организации и интегрируется с ее целями;

- управление рисками не ограничивается ведением реестра рисков;

13 Составлено автором на основе COSO ERM (2004).

- управление рисками — это не только внутренний контроль, но и внешний, так как риск-менеджмент тесно связан со всеми заинтересованными сторонами;

- управление рисками не является чек-листом;

- управление рисками применимо для всех организаций вне зависимости от их размера.

Под риск-менеджментом в COSO ERM (2017) понимается корпоративная культура, компетенции и лучшие практики, которые коррелированы с целями организации. Структура системы управления рисками также была изменена. Новая система включает в себя 5 компонентов и 20 процессов (Таблица 2).

Таблица 2. Система управления рисками согласно COSO ERM (2017)14

Культура и управление (Governance & culture) Стратегия и постановка целей (Strategy & objective-setting) Эффективность деятельности (Performance) Мониторинг и внедрение изменений (Review & revision) Информация, коммуникация и отчетность (Information, communication & reporting)

1. Осуществление советом директоров надзорной функции (Exercises board risk oversight) 6. Анализ деятельности (Analyses business context) 10. Идентификация рисков (Identifies risk) 15. Оценка существенных изменений (Assesses substantial change) 18. Использование информации и технологий (Leverages information and technology)

2. Создание инфраструктуры (Establishes operating structures) 7. Определение риск-аппетита (Defines risk appetite) 11. Оценка влияния рисков (Assesses severity of risk) 16. Анализ рисков и эффективности деятельности (Reviews risk and performance) 19. Распространение информации о рисках (Communicates risk information)

3. Определение желаемой корпоративной культуры (Defines desired culture) 8. Оценка стратегических альтернатив (Evaluates alternative strategies) 12. Приоритизация рисков (Prioritizes risk) 17. Повышение эффективности системы управления рисками (Pursues improvement in enterprise risk management) 20. Отчетность о рисках (Reports on risk, culture and performance)

4. Демонстрация приверженности к основным ценностям (Demonstrates commitment to core values) 9. Формулировка бизнес-целей (Formulates business objectives) 13. Реагирование на риск (Implements risk responses) - -

14 Составлено автором на основе Enterprise Risk Management. Integrating with Strategy and Performance, 2017 // COSO [Электронный ресурс]. URL: https ://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf (дата обращения: 05.04.2020).

5. Привлечение, 14.

развитие и удержание Комплексный

квалифицированных - взгляд на риски - -

специалистов (Develops

(Attracts) portfolio view)

Project Management Body of Knowledge (PMBoK® Guide)

Институт управления проектами (Project Management Institute, PMI) — это всемирная некоммерческая профессиональная организация по управлению проектами. Собирая лучшие практики управления проектами с 1969 года, PMI разработал свод знаний проектного управления — Project Management Body of Knowledge (PMBoK® Guide), который с периодичностью в 4-6 лет корректируется, обновляется и дополняется сообществом руководителей-практиков (Таблица 3) [Rose 2008].

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Таблица 3. Своды знаний по проектному управлению от PMI15

Название Год издания Количество областей знаний Количество процессов

Project Management Body of Knowledge. First Edition 1996 9 37

Project Management Body of Knowledge. Second Edition 2000 9 39

Project Management Body of Knowledge. Third Edition 2004 9 44

Project Management Body of Knowledge. Fourth Edition 2008 9 47

Project Management Body of Knowledge. Firth Edition 2013 10 47

Project Management Body of Knowledge. Sixth Edition 2017 10 49

С первого издания PMBoK® Guide PMI уделяет риск-менеджменту особое

внимание. Во многом это связано с тем, что управление рисковыми событиями дает возможность значительно повысить шансы на успешное завершение проекта, в связи с чем «план управления рисками» стал одним из важнейших проектных документов наравне с уставом проекта, иерархической структурой работ (ИСР), планом управления стоимостью, планом управления расписанием и др. [Zwikael 2009].

Под термином «риск» во всех изданиях PMBoK® Guide неизменно понимается неопределенное событие или ситуация, которая если происходит, то оказывает негативное или позитивное влияние на одну или несколько проектных целей [ Reich, Wee 2006] (Рисунок 3).

15 Составлено автором на основе A Guide to the Project Management Body of Knowledge. Guide 4th edition (PMBOK-4) // Works Affairs [Электронный ресурс].

URL: https://www.works.gov.bh/English/ourstrategy/Proiect%20Management/Documents/0ther%20PM%20Re sources/PMBOKGuideFourthEdition protected.pdf (дата обращения: 05.04.2020); A Guide to the Project Management Body of Knowledge. Guide 5th edition (PMBOK-5) // Universitas Dian Nuswantoro [Электронный ресурс]. URL: https://dinus.ac.id/repository/docs/aiar/PMBOKGuide 5th Ed.pdf (дата обращения: 05.04.2020); A Guide to the Project Management Body of Knowledge. Guide 6th edition (PMBOK-6) // Project Management Institute [Электронный ресурс]. URL: https://www.pmi.org/pmbok-guide-standards/foundational/pmbok (дата обращения: 05.04.2020).

Риск (Risk)

Рисунок 3. Графическое представление содержания термина «риск» согласно позиции, обозначенной в PMBoK® Guide16

Накопленные лучшие практики в области риск-менеджмента значительно отразились на понимании механизма управления рисками. Для того чтобы лучше почувствовать процесс изменений и совершенствования риск-менеджмента, автором статьи был проведен сравнительный анализ процессов, описанных в версиях PMBOK-4, PMBOK-5 и PMBOK-6 (Рисунок 4).

Входы (Inputs)

1. Описание содержания проекта (Project scope statement)

2. План управления стоимостью (Cost management plan)

3. План управления расписанием (Schedule management plan)

4. План управления коммуникациями (Communications management plan)

5. Факторы среды организации (Enterprise environment)

6. Активы процессов организации (Organizational process assets)

Инструменты и методы (Tools & Techniques)

1. Совещания по планированию и анализ (Planning meeting and analysis)

Выходы (Outputs)

1. План управления рисками (Risk management plan)

а)

16 Составлено автором на основе A Guide to the Project Management Body of Knowledge. Guide 6th edition (PMBOK-6) // Project Management Institute [Электронный ресурс]. URL: https://www.pmi.org/pmbok-guide-standards/foundational/pmbok (дата обращения: 05.04.2020).

Входы (Inputs)

1. План управления проектом (Project management plan)

2. Устав проекта (Project charter)

3. Реестр

заинтересованных сторон (Stakeholder register)

4. Факторы среды организации (Enterprise environmental factors)

5. Активы процессов организации (Organizational process assets)

Инструменты и методы (Tools & Techniques)

1. Аналитические методы (Analytical techniques)

2. Экспертная оценка (Expert judgment)

3. Совещания (Meeting)

Выходы (Outputs)

1. План управления рисками (Risk management plan)

Входы (Inputs)

1. Устав проекта (Project charter)

2. План управления проектом (Project management plan)

• Все компоненты (All components)

3. Документы проекта (Project documents)

• Реестр заинтересованных сторон (Stakeholder register)

4. Факторы среды организации (Enterprise environmental factors)

5. Активы процессов организации (Organizational process assets)

б)

Инструменты и методы (Tools & Techniques)

1. Экспертная оценка

(Expert judgment)

2. Анализ данных (Data

analysis)

• Анализ

заинтересованных сторон (Stakeholder analysis)

3. Совещания (Meetings)

Выходы (Outputs)

l. План управления рисками (Risk management plan)

в)

Рисунок 4. Планирование управления рисками, где а) PMBoK® Guide (2008), б) PMBoK® Guide (2013), в) PMBoK® Guide (2017)17

Анализ процесса управления рисками, представленный на Рисунке 4, показал, что данные, подаваемые на «вход», сильно изменились. В последней версии 2017 года на «вход» подается план управления проектом, включающий в себя планы из других областей знаний проекта (план управления содержанием, стоимостью, расписанием, качеством и др.). Факторы среды организации стали учитывать информацию о порогах рисков (организация примет риск, если он ниже уровня воздействия, если выше — организация не примет риск) и толерантности к рискам.

17 Составлено автором на основе A Guide to the Project Management Body of Knowledge. Guide 4th edition (PMBOK-4) // Works Affairs [Электронный ресурс].

URL: https://www.works.gov.bh/English/ourstrategy/Proiect%20Management/Documents/Other%20PM%20Re sources/PMBOKGuideFourthEdition protected.pdf (дата обращения: 05.04.2020); A Guide to the Project Management Body of Knowledge. Guide 5th edition (PMBOK-5) // Universitas Dian Nuswantoro [Электронный ресурс]. URL: https://dinus.ac.id/repository/docs/ajar/PMBOKGuide 5th Ed.pdf (дата обращения: 05.04.2020); A Guide to the Project Management Body of Knowledge. Guide 6th edition (PMBOK-6) // Project Management Institute [Электронный ресурс]. URL: https://www.pmi.org/pmbok-guide-standards/foundational/pmbok (дата обращения: 05.04.2020).

Management of Risk: Guidance for Practitioners (M_o_R®)

В своде лучших английских управленческих практик в области управления рисками Management of Risk: Guidance for Practitioners (M_o_R®), разработанном в 2010 году, под риском понимается неопределенное событие или набор событий, которые могут оказать влияние на процесс достижения целей (Рисунок 5).

Риск (Risk)

Рисунок 5. Графическое представление содержания термина «риск» согласно

позиции, обозначенной в М_о_Я®18

Риск-менеджмент в M_o_R® определяется как систематическое осуществление принципов, подхода и процессов, таких как идентификация и оценивание рисков, с последующим планированием и осуществлением мер воздействия (Рисунок 6).

18 Составлено автором на основе Management of Risk: Guidance for Practitioners. Norwich: TSO (The Stationary Office), 2010.

Принципы M_o_R® (M_o_R® principles)

Внедрение и анализ (Embed and review)

Взаимодействие

(Communicate)

s

Рисунок 6. Управление рисками согласно M_o_R®19

Под принципами риск-менеджмента в M_o_R® понимаются основополагающие требования, которые создают основу для успешного использования процессов риск-менеджмента. К данным принципам относятся:

- цели риск-менеджмента согласованы с целями организации/проекта;

- риск-менеджмент отвечает всем актуальным требованиям организации/проекта;

- в управление рисками вовлечены все заинтересованные стороны;

- управление рисками ясно и понятно всем сотрудникам организации/проекта;

- информация о принятых управленческих решениях оперативно распространяется среди всех заинтересованных сторон;

- риск-менеджмент постоянно совершенствуется за счет созданной базы знаний (реестр выученных уроков);

19 Составлено автором на основе Management of Risk: Guidance for Practitioners. Norwich: TSO (The Stationary Office), 2010.

- формируется и развивается риск-ориентированная корпоративная культура.

Стоит отметить, что представленные выше принципы согласованы с международным стандартом риск-менеджмента ISO 31000:200920. Следовательно, свод лучших управленческих практик в области риск-менеджмента M_o_R® является универсальным и может быть рекомендован к применению в большинстве организаций мира.

Подход к управлению рисками включает в себя набор документов, таких как:

- Политика управления рисками — документ, который дает ответ на вопросы, зачем и как риск-менеджмент будет использоваться в организации, в ее отделах, департаментах и проектах;

- Руководство управления рисками — документ, последовательно описывающий все этапы управления рисками, начиная от выявления рисков, заканчивая развитием риск-менеджмента;

- Стратегия управления рисками описывает значения риск-аппетита и толерантности организации/проекта к рискам;

- Реестр рисков — документ, где фиксируются вероятные угрозы и возможности;

- Рейтинг рисков — документ, фиксирующий значения вероятности и влияния для каждого идентифицированного риска;

- План мер по улучшению риск-менеджмента — документ, в котором описаны меры по формированию и развитию риск-ориентированной корпоративной культуры;

- План информирования всех заинтересованных сторон о рисках — это план, где описывается процесс того, как информация будет распространяться между всеми заинтересованными сторонами;

- План мер воздействия на риски — документ, где фиксируются мероприятия по воздействию на идентифицированные риски;

20 ISO 31000:2009. «Risk Management — Principles and Guidelines», 2009 // ISO [Электронный ресурс]. URL: https://www.iso.org/standard/43170.html (дата обращения: 05.04.2020).

- Отчет о текущем прогрессе управления рисками — документ, информирующий все заинтересованные стороны о текущих показателях, связанных с риск-менеджментом.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

К процессам риск-менеджмента в M_o_R® относятся:

- процесс идентификации рисков;

- процесс оценивания рисков;

- процесс планирования мер воздействия на риски;

- процесс осуществления запланированных мер воздействия на риски.

Стоит отметить, что в M_o_R® представлено описание примерного сценария того, как необходимо проводить внедрение риск-менеджмента в корпоративную культуру организации. В качестве инструмента, который позволяет определить и изменить текущую ситуацию управления в области риск-менеджмента, авторы M_o_R® предлагают использовать модель зрелости, то есть методику измерения уровня развития риск-менеджмента внутри организации [Hoseini et al. 2019].

International Organization for Standardization (ISO 31000)

В международном стандарте ISO 31000:2009 риск определяется как неопределенность, влияющая негативно и/или позитивно на цели [Curkovic et al. 2013]. Разработчики ISO 31000:2009 считают21, что риск может характеризоваться потенциальными событиями (events), последствиями от их наступления (consequences), их комбинацией, а также вероятностью материализации данных событий и/или последствий (likelihood). Взаимосвязь риска, вероятных событий, последствий и целей представлена на Рисунке 7.

21 ISO 31000:2009. «Risk Management — Principies and Guidelines», 2009 // ISO [Электронный ресурс]. URL: https://www.iso.org/standard/43170.html (дата обращения: 05.04.2020).

Рисунок 7. Графическое представление содержания термина «риск» согласно позиции, обозначенной в ISO 31000:200922

Согласно ISO 31000:2009 риск-менеджмент включает в себя принципы риск-менеджмента, инфраструктуру риск-менеджмента и процессы управления рисками (Рисунок 8).

Рисунок 8. Принципы, инфраструктура и процессы риск-менеджмента согласно

ISO 31000:200923

22 Составлено автором.

23 Составлено автором на основе ISO 31000:2009. «Risk Management — Principies and Guidelines», 2009 // ISO [Электронный ресурс]. URL: https://www.iso.org/standard/43170.html (дата обращения: 05.04.2020).

Для эффективного управления рисками в основе корпоративной культуры должны лежать следующие принципы:

- принцип создания, развития и защиты ценностей (creates value), таких как, например, здоровье и безопасность человека, безопасность окружающей среды, высокое качество продукции, высокий уровень сервиса, репутация и др.;

- принцип неотъемлемости (integral part of organizational processes). Управление рисками — это не одиночный бизнес-процесс, который существует отдельно от деятельности организации. Риск-менеджмент должен быть интегрирован во все бизнес-процессы организации, включая ее стратегические планы и проекты;

- принцип оказания содействия и сопровождения в принятии управленческих решений (part of decision making). Риск-менеджмент помогает менеджменту организации в принятии управленческих решений, прогнозируя возможные последствия от принятых решений;

- принцип управления неопределенностью (explicitly addresses uncertainty). Согласно определению, риск-менеджмент направлен на понимание природы возникающей неопределенности и выработку способов ее уменьшения;

- принцип структурированности, систематичности и своевременности (systematic, structured and timely). Данный принцип управления рисками направлен на получение гарантированного результата;

- принцип получения самой актуальной информации (based on the best available information). В управлении рисками используются различные источники получения актуальной информации: исторические данные, опыт, обратная связь от заинтересованных сторон, исследования, прогнозы и экспертные мнения;

- принцип адаптированности (tailored). Риск-менеджмент должен быть адаптирован под внешнюю и внутреннюю среду организации;

- принцип формирования риск-ориентированной корпоративной культуры (takes human and cultural factors into account). Для эффективного и результативного применения риск-менеджмента в организации

необходимо выявлять качества сотрудников, которые способствуют и препятствуют процессу достижения запланированных целей;

- принцип учета мнений (transparent and inclusive). Учет мнений заинтересованных сторон позволяет сохранять необходимый уровень качества риск-менеджмента;

- принцип динамичности (dynamic, iterative and responsive to change). Внешняя и внутренняя среда организации постоянно меняется, поэтому необходимо систематически осуществлять мониторинг новых рисков;

- принцип непрерывного улучшения (facilitates continual improvement and enhancement of the organization). Организация должна постоянно обогащать новыми знаниями существующий риск-менеджмент.

Инфраструктурой управления рисками, согласно определению международного стандарта ISO 31000:2009, называется совокупность компонентов, которые способствуют осуществлению, мониторингу и непрерывному улучшению риск-менеджмента во всей организации. Данная структура включает в себя следующие элементы:

- должность, наделенная полномочиями и обязанностями (mandate and commitment). Для того чтобы риск-менеджмент эффективно и результативно создавал, развивал и защищал ценности организации (здоровье и безопасность человека, безопасность окружающей среды, высокое качество продукции, высокий уровень сервиса, репутация и др.), а также для того чтобы применялись принципы управления рисками, необходимо выделить в организационной структуре должность и наделить ее необходимыми полномочиями и обязательствами;

- проектирование инфраструктуры управления рисками (design of framework for managing risk). При проектировании инфраструктуры риск-менеджмента необходимо учитывать следующие аспекты:

1) понимание текущей ситуации во внутренней и внешней среде организации;

2) потребности и возможности организации;

3) существующие бизнес-процессы организации;

4) ресурсы;

5) каналы коммуникаций.

- эксплуатация риск-менеджмента (implementing risk management) разделяется на эксплуатацию инфраструктуры (эффективность и результативность риск-менеджмента в организации и ее структурных подразделениях) и эксплуатацию процессов (эффективность и результативность отдельных процессов риск-менеджмента, таких как идентификация, анализ, оценивание рисков и др.);

- анализ эффективности и результативности инфраструктуры риск-менеджмента (monitoring and review of the framework). Количественно изменяются результаты использования риск-менеджмента во всей организации и ее структурных подразделениях, а также отдельных процессов риск-менеджмента;

- непрерывное улучшение инфраструктуры риск-менеджмента (continuai improvement of the framework). На основании полученных данных разрабатываются планы по улучшению существующей инфраструктуры управления рисками.

ISO 31000:2009 определяет процессы риск-менеджмента как процедуры, практики и действия, направленные на осуществление коммуникации, консультирования, определение текущей ситуации во внешней и внутренней среде организации, а также на идентификацию рисков, анализ рисков, оценивание рисков, разработки мер воздействия на риски, мониторинг и контроль над рисками.

В новое издание 2018 года были внесены такие изменения:

- обновлены принципы риск-менеджмента;

- выделена лидерская роль высшего руководства в управлении рисками;

- сделан акцент на итеративном характере риск-менеджмента.

По мнению авторов ISO 31000:201824, теперь главной целью риск-менеджмента является создание, развитие и защита ценностей организации (Рисунок 9).

24 ISO 31000:2018 Risk management — Guidelines. 2th edition — International Organization for Standardization, 2018 // ISO [Электронный ресурс].

URL: https://www.iso.org/standard/65694.html#:~:text=ISO%2031000%3A2018%20provides%20guidelines,no t%20industry%20or%20sector%20specific (дата обращения: 05.04.2020).

Принцип формирования риск-ориентированной ко рп оративной кул ьтур ы (Human and Cultural Factors)

Принцип получения самой актуальной информации (Best Available Information)

Принцип непрерывного улучшения (Continual Improvement)

Принцип интегрированности (Integrated)

Создание, развитие и защита ценностей

организации (Value Creation and Protection)

Принцип структурности и единоначалия (Structured and Comprehensive)

Принцип адаптируемости и персонализации (Customized)

Принцип динамичности (Dynamic)

Принцип учета мнений (Inclusive)

Сопровождение интеграции риск-менеджмента (Integration)

Принципы риск-менеджмента (Principles)

Сопровождение улучшения риск-менеджмента (Improvement)

Сопровождение

оценивания эффективности и результативности риск-менеджмента (Evacuation)

Сопровождение и содействие управлению рисками (Leadership and Commitment)

Сопровождение проектирования риск-менеджмента (Design)

Сопровождение внедрения риск-менеджмента (Implementation)

Инф раструктура р иск-ме неджме нта „

Процессы риск-менеджмента (Framework) ГГ.

(Process)

Рисунок 9. Принципы, инфраструктура и процессы риск-менеджмента согласно

ISO 31000:201825

Под принципами риск-менеджмента в ISO 31000:2018 понимаются базовые правила, направленные на создание, развитие и защиту базовых ценностей организации. Эти принципы создают основу для эффективного применения процессов риск-менеджмента и, как правило, включаются в управленческий функционал организации. К данным принципами относятся:

25 Составлено автором на основе ISO 31000:2018 Risk management — Guidelines. 2th edition — International Organization for Standardization, 2018 II ISO [Электронный ресурс].

URL: https:IIwww.iso.orgIstandardI65694.html#:~:text=ISO%2031000%3A2018%20provides%20guidelines,no t%20industry%20or%20sector%20specific (дата обращения: 05.04.2020).

- принцип интегрированности (integrated). Риск-менеджмент должен быть интегрирован во все бизнес-процессы, отделы и проекты организации;

- принцип структурности и единоначалия (structured and comprehensive). Согласно данному принципу риск-менеджмент должен иметь единый подход к управлению рисками. Только так можно получить достоверные результаты;

- принцип адаптируемости и персонализации (customized). Каждая организация имеет свою уникальную внутреннюю и внешнюю среду, поэтому структура риск-менеджмента и его процессы должны быть адаптированы под цели организации и ее бизнес-модель;

- принцип учета мнений (inclusive). Знания и различные точки зрения заинтересованных сторон являются ядром риск-менеджмента. Оценивание ситуации с различных позиций создает информационный поток, благодаря которому могут быть выявлены риски.

- принцип динамичности (dynamic). С течением времени внешняя и внутренняя среда организации меняется, что приводит к неизбежному появлению новых рисков, изменению или исчезновению старых рисков. Поэтому риск-менеджмент должен предугадывать, обнаруживать и своевременно обрабатывать данные изменения;

- принцип получения самой актуальной информации (best available information). Для того чтобы снизить уровень неопределенности, риск-менеджменту необходимо работать только с актуальной информацией;

- принцип формирования риск-ориентированной корпоративной культуры (human and cultural factors). Корпоративная культура и поведение сотрудников во многом определяют успех использования риск-менеджмента, поэтому внутренняя культура организации должна быть риск-ориентированной;

- принцип непрерывного улучшения (continual improvement). Риск-менеджмент должен постоянно обогащаться новыми знаниями и опытом.

Стоит отметить, что, по мнению авторов ISO 31000:2018, эффективность и результативность использования управления рисками очень сильно зависит от сопровождения и содействия высшего руководства и всех заинтересованных сторон, поэтому менеджмент организации должен гарантировать, что для обеспечения риск-

менеджмента будут выделены необходимые ресурсы, назначены ответственные лица, выданы необходимые полномочия. Гарантией сопровождения и содействия риск-менеджмента высшего руководства является выполнение таких действий, как:

- сопровождение интеграции риск-менеджмента (integration). Риск-менеджмент адаптируется под нужды и особенности организации, поэтому должен учитывать ее корпоративную культуру, стратегию, цели и стиль управления;

- сопровождение проектирования риск-менеджмента (design). При проектировании риск-менеджмента необходимо изучить внешнюю и внутреннюю среду организации для того, чтобы определить точное количество сотрудников и их профессиональные компетенции, методы, инструменты, технологии, документы, необходимую информацию;

- сопровождение внедрения риск-менеджмента (implementation). Менеджмент организации должен оперативно принимать управленческие решения по устранению любых трудностей и проблем, которые могут возникнуть при внедрении риск-менеджмента;

- сопровождение оценивания эффективности и результативности риск-менеджмента (evacuation). Высшее руководство должно понимать, какую ценность и пользу приносит риск-менеджмент для организации, поэтому необходимо систематически проводить изменения и сопоставлять полученные данные с целями, планами, ожиданиями заинтересованных сторон;

- сопровождение улучшения риск-менеджмента (improvement). Улучшение риск-менеджмента напрямую связано с созданием, развитием и защитой ценностей организации, так как чем лучше работает риск-менеджмент, тем выше показатели развития ценностей.

Процессы риск-менеджмента в ISO 31000:2018 базируется на процессах стандарта ISO 31000:2009.

PRojects IN Controlled Environments (PRINCE2®)

PRINCE2® — это свод лучших практик управления проектами, который изначально разрабатывался специально для ИТ-проектов, однако впоследствии видоизменялся и трансформировался, приобретая универсальные черты [Vanickova 2017].

Под риском в PRINCE2® понимается неопределенное событие (набор неопределенных событий), которое, в случае наступления, может оказать влияние на процесс достижения целей проекта (Рисунок 10). Риск является сложной структурой и состоит из трех элементов:

- причина риска (risk cause). Определение источника риска;

- рисковое событие (risk event), которое может быть либо угрозой (threat), либо возможностью (opportunity);

- последствие наступление риска (risk effect). Определение возможного последствия в случае наступления рискового события.

Риск (Risk)

Рисунок 10. Графическое представление содержания термина «риск» согласно

позиции, обозначенной в PRINCE2®26

Согласно концепции PRINCE2®27, риск-менеджмент — это процесс, который включает в себя следующие этапы (Рисунок 11):

- идентификация (identification). На данном этапе выявляются возможные угрозы и опасности с помощью таких техник, как изучение реестра выученных уроков, иерархическая структура рисков, мозговой штурм и др.;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

- оценивание (assess). Определяются такие параметры риска, как вероятность наступления и возможное влияние, для того чтобы впоследствии определить наиболее опасные и/или полезные риски;

26 Составлено автором на основе Managing Successful Projects with PRINCE2. Norwich: TSO (The Stationary Office), 2017.

27 Managing Successful Projects with PRINCE2. Norwich: TSO (The Stationary Office), 2017.

- планирование (plan). В процессе планирования разрабатываются меры по превентивному воздействию на идентифицированные риски и меры на случай материализации неидентифицированных рисков;

- осуществление (implement). На данном этапе реализуются разработанные меры воздействия на риски с помощью определенных лиц — «ответственных за риски» (risk owner) и «ответственных за исполнение мер воздействия на риски» (risk actioner);

- взаимодействие/информирование (communicate). Взаимодействие должно осуществляться постоянно. Заинтересованные стороны проекта должны обладать полной и достоверной информацией о текущем состоянии проекта, где главным источником информации должны являться систематические и точные отчеты.

Рисунок 11. Управление рисками согласно PRINCE2®28

Уточнение терминов «риск», «риск-менеджмент» и «неопределенность»

На основании проведенного исследования автор статьи предлагает определять риск как вероятное событие, которое порождается конкретными источниками (источники риска), материализуется по причине воздействия определенных факторов

28 Составлено автором на основе Managing Successful Projects with PRINCE2. Norwich: TSO (The Stationary Office), 2017.

(факторы риска) и имеет способность оказать негативное/позитивное влияние на процесс достижения цели, приводя к наступлению проблемных/благоприятных ситуаций.

Благодаря предложенному определению становится возможным выделение конкретных источников риска, факторов риска и проблемных/благоприятных ситуаций. Наличие благоприятных последствий по причине наступления риска, в свою очередь, послужило основанием для дифференциации рисковых событий на негативные риски и позитивные риски. Так, под негативным риском необходимо понимать вероятное событие, которое может отрицательно повлиять на процесс достижения, а под позитивным риском — событие, которое может положительно повлиять на данный процесс (Рисунок 12).

Рисунок 12. Графическое представление взаимосвязи источника риска, фактора риска, риска и проблемной/благоприятной ситуации29

Дополнение содержания понятия «риск» дает ряд преимуществ:

- во-первых, раскрывается сущность и природа рискового события, что дает возможность значительно повысить результативность мер управленческого воздействия, нивелируя не только источники рисков, но и факторы рисков;

- во-вторых, понимание того, что материализация риска может приводить к проблемным и благоприятным ситуациям, создает основу для разработки методического инструментария по управлению угрозами и позитивными возможностями;

- в-третьих, предложенная дефиниция уточняет сущность термина «риск-менеджмент». С учетом приращения новых знаний в понимании природы риска риск-менеджмент необходимо определять как совокупность процессов по оценке негативных/позитивных рисков, принятии управленческих решений по разработке мер воздействия, мониторингу неидентифицированных рисков и контролю идентифицированных рисков.

29 Составлено автором.

Д.И. Филимонов определяет риск как неопределенность, которая возникает из-за отсутствия или недостатка информации [Филимонов 2017]. Отметим, что, согласно концепции Д.И. Филимонова, неопределенный исход несет для выполняемой работы неблагоприятные последствия, из чего следует, что понятие «риск» толкуется в негативном аспекте. В трудах В.Н. Буркова и Д.А. Новикова [Бурков и др. 1997] риск также отождествляется с неопределенностью. Однако, как показали проведенные исследования, неопределенность и риск — это два совершенно разных понятия. Так, было установлено, что:

- неопределенность возникает, когда отсутствует необходимая информация; риск может быть предсказуемым и прогнозируемым, так как его сущность базируется на ретроспективных данных и опыте сотрудников;

- неопределенность связана с вероятностью наступления непрогнозируемых, стохастических событий; риск порождают конкретные источники под влиянием определенных факторов, которые могут быть идентифицированы;

- неопределенность прогнозируют субъективно, часто основываясь только на интуиции; риск опирается на объективные факты.

Таким образом, под неопределенностью следует понимать совокупность непрогнозируемых, стохастических событий, наступление которых невозможно прогнозировать.

Заключение

Дополненное содержание базовых понятий управления рисками, таких как риск, риск-менеджмент и неопределенностью, позволило осуществить приращение научных знаний в теории и практике управления рисками. В частности, лучшее понимание природы риска позволило заключить, что рисковое событие является динамической величиной, вероятность наступления которого различна в разные периоды времени. Это означает, что теперь при создании риск-ориентированного прогноза можно также определять время актуализации риска (время наступления риска в конкретный момент времени), что, в свою очередь, предоставит большую управленческую свободу организациям в процессе разработки мер воздействия на негативные и позитивные риски.

Список литературы: Балабанов И.Т. Риск-менеджмент. М. : Финансы и статистика, 1996. Бурков В.Н., Новиков Д.А. Как управлять проектами. М. : Синтег, 1997. Грабовый П.Г., Петрова С.Н. Риски в современном бизнесе. М.: Издательство «Алане», 1994.

Илышева М.А. Модели зрелости управления проектами в российских компаниях // Известия УрГЭУ. 2009. № 4(26). С. 54-59.

Качалов Р.М. Управление экономическими рисками: Теоретические основы и приложения. М.; СПб.: Нестор-История, 2012.

Королев В.Ю., Бенинг В.Е., Шоргин С.Я. Математические основы теории риска. М.: Физматлит, 2011.

Машков Д.М. Научные подходы к управлению рисками промышленных предприятий // Инженерный вестник Дона. 2014. № 4.

URL: http://www.ivdon.ru/uploads/article/pdf/IVD_72_Mashkov.pdf_6c07cf17c4.pdf (дата обращения: 05.04.2020).

Митяков Е.С., Митяков С.Н. Оценка рисков в задачах мониторинга угроз экономической безопасности // Труды НГТУ им. Р.Е. Алексеева. 2018. № 1(120). С. 4451.

Николаенко В.С. Негативные и позитивные риски в ИТ-проектах // Вестник московского университета. Серия 21: Управление (государство и общество). 2018. № 3. С. 91-124. Трофимов О.В., Саакян А.Г. Функционирование промышленных предприятий в условиях цифровой экономики // Фундаментальные исследования. 2018. № 8. С. 122126.

Филимонов Д.И. Классификация рисков кадровой безопасности в деятельности IT-структур // Экономика и предпринимательство. 2017. № 5-1(82). С. 682-685. Al-Kubaisi A. The Importance of (COSO-ERM) Model Implementation in Enhancing the Effectiveness of Internal Control Systems in the Jordanian Commercial Banks (Field Study) // Journal of Social Sciences (COES&RJ-JSS). 2017. Vol. 6. No. 1. P. 156-167. DOI: https://doi.org/10.25255/jss.2017.6.1.156.177.

Curkovic S., Scannell T.V., Wagner B.J. ISO 31000:2009 Enterprise and Supply Chain Risk Management: A Longitudinal Study // American Journal of Industrial and Business Management. 2013. Vol. 3. No. 7. P. 614-630. DOI: 10.4236/ajibm.2013.37073.

Hoseini E., Hertogh M., Bosch-Rekveldt M. Developing a Generic Risk Maturity Model (GRMM) for Evaluating Risk Management in Construction Projects // Journal of Risk Research. 2019. DOI: https://doi.org/10.1080/13669877.2019.1646309. Paladino B., Cuy L., Frigo M. Missed Opportunities in Performance and Enterprise Risk Management // Journal of Corporate Accounting & Finance. 2009. Vol. 20. Is. 3. P. 43-51. DOI: https://doi.org/10.1002/jcaf.20483.

Reich B.H., Wee S.Y. Searching for Knowledge in the PMBOK Guide // Project Management Journal. 2006. Vol. 37. Is. 2. P. 11-27. DOI: https://doi.org/10.1177/875697280603700203. Rose K.H. Book Review: Construction Extension to the PMBOK® Guide-Third Edition // Project Management Journal. 2008. Vol. 39. Is. 1. P. 98. DOI: https://doi.org/10.1002/pmj.20029.

Vanícková R. Application of PRINCE2 Project Management Methodology // Studia Commercialia Bratislavensia. 2017. Vol. 10. No. 38. P. 227-238. DOI: 10.1515/stcb-2017-0021.

Zwikael O. The Relative Importance of the PMBOK® Guide's Nine Knowledge Areas During Project Planning // Project Management Journal. 2009. Vol. 40. Is. 4. P. 94-103. DOI: https://doi.org/10.1002/pmj.20116.

Дата поступления: 15.04.2020

Nikolaenko V.S.

Risk, Risk Management and Uncertainty: Clarifying the Concepts

Valentin S. Nikolaenko — MBA, Senior Teacher, Tomsk Polytechnic University, Tomsk, Russian Federation.

E-mail: nikolaenkovs@tpu.ru, masterrisk@ya.ru ORCID ID: 0000-0002-1990-4443

Abstract

There is no common point of view among domestic and foreign scientists on how to define the terms «risk», «risk management» and «uncertainty». Furthermore, Russian sources devoted to risk management contain errors in localization of terminological concepts, which misleads many Russian scientists. For this reason, the author of the article used the original codes of best practices and risk management standards, such as COSO ERM, PMBoK® Guide, M_o_R®, ISO 31000 and PRINCE2®. The results obtained allowed us to establish that a risk event is a combination of elements such as the source of risk, risk factor and problem/favorable consequence. The presence of a favorable effect, in turn, served as the basis for dividing into negative risks and positive risks. In this regard, taking into account the increment of new knowledge, risk management can be understood as a set of processes for assessing negative/positive risks, making management decisions on the development of impact measures, monitoring unidentified risks and controlling identified risks. It was found that uncertainty and risk have different nature and properties. For example, uncertainty usually occurs in the absence of information, while risk, on the contrary, is always predictable, since it is based on historical data; uncertainty is associated with the occurrence of stochastic events, but the risk is generated by specific sources under the influence of certain factors; the uncertainty is subjective, the risk is objective, as it is based on quantitative data and facts.

Keywords

Risk, uncertainty, risk management, COSO ERM, PMBoK® Guide, M_o_R®, ISO 31000, PRINCE2®.

DOI: 10.24411/2070-1381-2020-10080

References:

Al-Kubaisi A. (2017) The Importance of (COSO-ERM) Model Implementation in Enhancing the Effectiveness of Internal Control Systems in the Jordanian Commercial Banks (Field Study). Journal of Social Sciences (COES&RJ-JSS). Vol. 6. No. 1. P. 156-167. DOI: https://doi.org/10.25255/jss.2017.6.1.156.177.

Balabanov I.T. (1996) Risk-menedzhment [Risk management]. Moscow: Finansy i statistika. Burkov V.N., Novikov D.A. (1997) Kak upravlyat' proyektami [How to manage projects]. Moscow: Sinteg.

Curkovic S., Scannell T.V., Wagner B.J. (2013) ISO 31000:2009 Enterprise and Supply Chain

Risk Management: A Longitudinal Study. American Journal of Industrial and Business

Management. Vol. 3. No. 7. P. 614-630. DOI: 10.4236/ajibm.2013.37073.

Filimonov I.V. (2017) Classification of Personnel Security Risks in the Activity of IT-

Structures. Ekonomika ipredprinimatel'stvo. No. 5-1(82). P. 682-685.

Grabovyy P.G., Petrova S.N. (1994) Riski v sovremennom biznese [Risks in modern business].

Moscow: Izdatel'stvo «Alane».

Hoseini E., Hertogh M., Bosch-Rekveldt M. (2019) Developing a Generic Risk Maturity Model (GRMM) for Evaluating Risk Management in Construction Projects. Journal of Risk Research. DOI: https://doi.org/10.1080/13669877.2019.1646309.

Ilysheva M.A. (2009) Models of Projects Management Maturity in the Russian Companies. Izvestiya UrGEU. No. 4(26). P. 54-59.

Kachalov R.M. (2012) Upravleniye ekonomicheskimi riskami: Teoreticheskiye osnovy i prilozheniya [Managing economic risks: Theoretical foundations and applications: monograph]. Moscow; Saint Petersburg: Nestor-Istoriya.

Korolev V.Yu., Bening V.E., Shorgin S.Ya. (2011) Matematicheskiye osnovy teorii riska [Mathematical foundations of risk theory]. Moscow: Fizmatlit.

Mashkov D.M. (2014) Nauchnyye podkhody k upravleniyu riskami promyshlennykh predpriyatiy [Scientific approaches to risk management of industrial enterprises]. Inzhenernyy vestnik Dona. No 4.

Available: http://www.ivdon.ru/uploads/article/pdf/IVD_72_Mashkov.pdf_6c07cf17c4.pdf (accessed: 05.04.2020).

Mityakov E.S., Mityakov S.N. (2018) Assessment of Risks in Problems of Monitoring of Threats of Economic Security. Trudy NGTU im. R.E. Alekseyeva. No. 1(120). P. 44-51. Nikolaenko V.S. (2018) Negative and Positive Risks in IT-Projects // Vestnik moskovskogo universiteta. Seriya 21: Upravleniye (gosudarstvo i obshchestvo). No. 3. P. 91-124. Paladino B., Cuy L., Frigo M. (2009) Missed Opportunities in Performance and Enterprise Risk Management. Journal of Corporate Accounting & Finance. Vol. 20. Is. 3. P. 43-51. DOI: https://doi.org/10.1002/jcaf.20483.

Reich B.H., Wee S.Y. (2006) Searching for Knowledge in the PMBOK Guide. Project Management Journal. Vol. 37. Is. 2. P. 11-27.

DOI: https://doi.org/10.1177/875697280603700203.

Rose K.H. (2008) Book Review: Construction Extension to the PMBOK® Guide-Third Edition. Project Management Journal. Vol. 39. Is. 1. P. 98. DOI: https://doi.org/10.1002/pmj.20029.

Trofimov O.V., Saakyan A.G. (2018) Functioning of Industrial Enterprises under the Conditions of the Digital Economy. Fundamental'nyye issledovaniya. No. 8. P. 122-126. Vanícková R. (2017) Application of PRINCE2 Project Management Methodology. Studia CommercialiaBratislavensia. Vol. 10. No. 38. P. 227-238. DOI: 10.1515/stcb-2017-0021. Zwikael O. (2009) The Relative Importance of the PMBOK® Guide's Nine Knowledge Areas During Project Planning. Project Management Journal. Vol. 40. Is. 4. P. 94-103. DOI: https://doi.org/10.1002/pmj.20116.

Received: 15.04.2020

i Надоели баннеры? Вы всегда можете отключить рекламу.