Во-первых, в ГОСТ 31000 нет термина «система управления рисками»
В международном стандарте ISO31000 и его российской адаптации ГОСТ ИСО 31000 не используется термин система управления рисками. Не путать с системным управлением рисками и необходимостью использовать систематический и регулярный подход к управлению рисками.
Во-вторых, это полностью противоречит принципам, которые изложены в ГОСТ 310000, и практике управления рисками в развитых странах
Начну с того, что напомню вам, что ISO 31000:2009 адаптирован и принят в 88% стран из 50 крупнейших по показателю ВВП. В России стандарт переведен и адаптирован как ГОСТ ИСО 31000:2010. Лично я готов согласиться, что, на данный момент времени, ISO 31000 можно считать основным общепринятым стандартом по управлению рисками в мире.
Так вот в этом самом стандарте написано несколько очень интересных вещей, которые похоже мы, в России, совсем упустили из вида:
Настоящая инфраструктура предназначена не для того, чтобы предписать систему управления, а для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента.
Или вот еще:
Настоящий стандарт рекомендует, чтобы организации разрабатывали, внедряли и постоянно улучшали инфраструктуру, цель которой заключается в интегрировании процесса менеджмента риска в общее управление, стратегию и планирование, менеджмент, процессы отчетности, политику, ценности и культуру.
При всем уважении к переводчикам стандарта я постараюсь описать вышесказанное своими словами, тем более что в оригинальной, английской версии все намного понятнее.
Управление рисками — это набор принципов, процессов и инструментов, которые должны интегрироваться / встраиваться в существующую в компании систему управления. Это означает, что никакой отдельной системы управления рисками существовать не может, а ведь это именно то, что сделали практически все российские компании — создали систему альтернативную сложившимся в компании бизнес процессам. Мне, например, кажется абсурдно наличие нормативных документов по рискам, отдельной отчетности о рисках или даже мероприятий по управлению рисками. Зачем? Если в организации уже есть нормативные документы, отчетность и планы мероприятий. Нужно менять их с учетом рисков, а не строить свою альтернативную реальность.
Еще в апреле 2010 года я собирал риск-завтрак в PwC и говорил о том, что привычные подходы к управлению рисками должны измениться (http://www.slideshare.net/AlexSidorenko/changing-riskmanagement-landscape). Тогда 42% присутствующих риск менеджеров сказали, что внедренная в организации система управления рисками никак не должна видоизмениться, 38% сказали, что возможно претерпит незначительные изменения (https://ru.scribd.com/doc/59182436/I-Risk-Management-Breakfast-Results-Ru). Ах, как же они заблуждались!
Казалось бы такая мелочь, три слова, а это в корне меняет всю концепцию управления рисками. И теперь мы имеем то, что имеем — Росимущество и целый комитет экспертов при нем выпускают методические указания по подготовке положения о системе управления рисками, в котором все не о том…
РИСК МЕНЕДЖМЕНТ, УПРАВЛЕНИЕ РИСКАМИ 