Процесс управления рисками Обзор стандартов по управлению рисками

Процесс управления рисками

Обзор стандартов по управлению рисками

3 История стандартизации управления рисками 1995 г.: Стандарт Австралии и Новой Зеландии AS/NZS 4360:2004 «Risk management» 2001 г.: Японский стандарт JIS Q 2001:2001 «Guidelines for development and implementation of risk management system » 1997 г.: Канадский стандарт CSA Q 850:1997 «Risk Management Guidelines for Decision Makers» 2002 г.: Стандарт IRM, AIRMIC и ALARM (FERMA RMS) «Risk management standard» 2002 г.: ISO/IEC Guide 73 «Risk Management - Vocabulary» 2009 г.: ISO 31000:2009 «Risk management – Principles and guidelines» 2009 г.: ISO Guide 73:2009 «Risk Management – Vocabulary» 2009 г.: ISO/IEC 31010:2009 «Risk Management – Risk Assessment Techniques»

Основные международные стандарты управления рисками

Основные национальные стандарты управления рисками

Manama Turkey — U. A. E. — — China — Hong Kong — India — — Распространенность мировых стандартов по управлению рисками Широко распространены Распространены Не распространены

Разница в подходах к стандартам в России и мире VS. Задается общая концепция Очень детальные корпоративные стандарты компаний Очень детальные государственные стандарты Компании пытаются «вписать» свои стандарты в государственные

Различия в международной терминологии… Стандарт Австралии и Новой Зеландии AS/NZS 4360:2004 «Risk management»: Risk assessment = Risk analysis + Risk evaluation FERMA [Federation of European Risk Management Associations] Risk Analysis = Risk Identification + Risk Description + Risk Estimation Risk Management = Risk Assessment + Risk Analysis + Risk Evaluation + Reporting + Decision + Risk Treatment + Residual Risk Reporting + Monitoring ISO/IEC Risk management vocabulary guidance (ISO/IEC Guide 73) Risk Assessment = Risk Analysis + Risk Evaluation ISO/IEC 31010:2009 Risk management – Risk assessment techniques Risk management = Establishing the context + Risk assessment + Risk treatment + Communication and consultation + Monitoring and review Risk assessment = Risk identification + Risk analysis + Risk evaluation

Эффективное управление рисками «An effective risk management regime is a combination of an organization’s culture (beliefs, values and behaviors), processes and structures that are directed toward realizing potential gains whilst avoiding or limiting losses.» Источник: Future ISO 31000 standard on risk management // ISO Management Systems, July-August 2007

Управление рисками

Управление рисками организации - это: “… процесс, осуществляемый Советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также на осуществление контроля за непревышением риск-аппетита организации и предоставлением разумной гарантии в достижении целей организации.” Источник: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

Концепции управления рисками Непрерывный процесс, охватывающий всю организацию; Осуществляется сотрудниками на всех уровнях организации; Используется при разработке и формировании стратегии; Применяется во всей организации, на каждом ее уровне и в каждом подразделении; Нацелен на определение событий, которые могут влиять на организацию и управление рисками таким образом, чтобы они не превышали риск-аппетит организации; Дает Совету директоров и руководству организации разумную гарантию достижения целей; Связан с достижением целей по одной или нескольким пересекающимся категориям.

13 Принципы управления рисками Принципы управления рисками Непрерывность процесса Глубокая интегрированность Расширенность

Управление рисками  Устранение риска ”Risk is good. The point of risk management is not to eliminate it. That would eliminate reward. The point is to manage it. That is, to choose where to place bets and where to avoid betting altogether.” Th. A. Stewart, ‘Managing Risk in the 21st Century’

Risk management standard (IRM, AIRMIC и ALARM (FERMA RMS)) Риск – комбинация вероятности события и его последствий (то есть включает как положительные возможности, так и опасности для организации).

Классификация бизнес-процессов (FERMA RMS) Классификация бизнес-процессов: Стратегические Операционные Финансовые Управление знаниями и информацией Регулятивные

Процесс управления рисками (FERMA RMS)

Процесс управления рисками (ISO/IEC 31010:2009 Risk management – Risk assessment techniques)

Составляющие процесса управления рисками (COSO) 2. Постановка целей Комплексное управление рисками Внутренняя среда 8. Мониторинг 4. Оценка рисков 5. Реагирование на риск 6. Контрольные процедуры 7. Информация и коммуникация 3. Выявление потенциальных событий

Основные определения (COSO) Риск – это потенциальное событие, которое может оказать отрицательное воздействие на достижение поставленных целей. Возможность (opportunity) – это возможность возникновения события, которое окажет положительное воздействие на достижение поставленных целей. Риск-аппетит (risk-appetite) – это уровень риска, который организация в целом считает для себя допустимым в процессе создания стоимости. Допустимый риск (risk tolerance) – приемлемый уровень отклонения от поставленной цели. Присущий риск (inherent risk) – это риск для организации в отсутствие действий со стороны руководства по изменению вероятности возникновения или степени влияния данного риска. Остаточный риск (residual risk) – это риск, остающийся после принятия руководством мер по реагированию на риск.

Интегрированная модель управления рисками (COSO ERM)

22 Стандарты в области кадровых ресурсов Философия управления рисками Внутренняя среда Компоненты внутренней среды компании Наделение полномочиями и ответственностью Организационная структура Важность компетентности Риск-аппетит Совет директоров Честность и этика

Философия управления рисками (пример) Руководство и персонал компании должны: Учитывать все формы риска при принятии решений; Формировать и оценивать характеристику риска на уровне бизнес-подразделения и компании в целом, чтобы определить, какие действия наиболее полезны для бизнес-подразделения и департамента, а какие – для компании в целом; Оказывать поддержку исполнительному руководству при формировании интегрированной картины рисков на уровне компании; Сохранять ответственность за риск и управление рисками на уровне бизнес-подразделения или на другом уровне влияния. Управление рисками не означает перенос ответственности на других; Стремиться к использованию наилучших методов управления рисками; Отслеживать соблюдение установленной политики, процедур и текущую ситуацию в области управления рисками; Использовать процедуры управления рисками, существующие в Компании; Документировать и сообщать обо всех значительных рисках, а также недостатках процесса управления рисками; Принимать управление рисками как безусловную обязанность.

Пример исследования корпоративной культуры с точки зрения управления рисками

Риск-аппетит Какие риски компания принимает, а какие не принимает: например, готова ли компания смириться с небольшими недостачами в результате мелких краж (мошеннических действий) сотрудников, но не с крупными потерями запасов в результате порчи, устаревания или стихийных бедствий? Удовлетворена ли компания величиной принимаемого на себя риска по каждому виду деятельности? Готова ли компания принять на себя больше риска, чем в настоящее время, и если да, то какая доходность будет при этом требоваться? Существуют ли конкретные риски, которые компания не готова принять, например, риски, которые могут привести к несоблюдению законодательства и внутренних документов о конфиденциальности информации? В каких пределах компания принимает риск в достижении конкурирующих целей, например, риск более низкой нормы прибыли в обмен на увеличение доли рынка? Каким образом риск-аппетит компании соотносится с риск-аппетитом аналогичных компаний: какой уровень риска компания готова принять, чтобы перейти от следования за конкурентами в разработке новых продуктов к роли лидера, задающего тенденцию? Насколько компания готова начинать новые проекты, характеризующиеся меньшей вероятностью успеха, но более высоким уровнем потенциальной прибыли?

Риск-аппетит (продолжение)

Цели организации Стратегические цели Операционные цели Тактические цели Цели в области подготовки отчетности Цели в области соответствия требованиям

Мониторинг Весь процесс управления рисками организации отслеживается и по необходимости корректируется; Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок. Интегрированная модель управления рисками (COSO ERM) (продолжение) Информация и коммуникация Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их обязанности; Эффективный обмен информацией в рамках организации по вертикали и по горизонтали. Выявление потенциальных событий Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности; Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей. Контрольные процедуры Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно. Оценка рисков Риски анализируются с учетом вероятности их возникновения и степени влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска.

Спектр рисков Спектр рисков – систематизированный перечень объектов риска и соответствующих им факторов риска последовательно для каждого участка бизнес-процесса.

Спектр рисков (продолжение)

Меры реагирования на риск Избежание риска (уклонение, отказ от риска) – прекращение деятельности, ведущей к риску; Принятие (поглощение) риска – не предпринимается никаких действий, для того чтобы снизить вероятность или влияние событий; Передача риска – уменьшение вероятности и/или влияния риска за счет переноса или иного распределения части риска; Снижение (ограничение) риска – предпринимаются действия по снижению вероятности и/или влияния риска.

Меры реагирования на риск (продолжение) Передача риска Принятие (поглощение) риска Избежание риска (уклонение, отказ от риска) Снижение (ограничение) риска Меры реагирования на риск Адаптационное Пассивное управление Страхование (гарантирование) Хеджирование Диверсификация (распределение) Лимитирование Резервирование (самострахование) Активное управление Превентивное Аутсорсинг

Методы трансформации рисков Меры реагирования на риск направленные на: снижение вероятности наступления ущерба, уменьшение размера возможного ущерба, модификацию структурных характеристик риска. направленные на возмещение ущерба покрытие убытков), то есть на финансирование риска (формирование финансовых источников, используемых на покрытие ущерба, являющегося следствием реализации рисков). Методы финансирования риска Меры реагирования на риск (продолжение) Включают меры, которые препятствуют реализации соответствующих рисков: Отказ от риска; Диверсификация (распределение); Лимитирование Покрытие убытка из текущих денежных потоков; Создание резервов; Самострахование; Страхование; Хеджирование.

Примеры мер реагирования на риск

Примеры реагирования на риск (продолжение)

Спасибо за внимание!