Политика управления рисками — РНПК
ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ
АО РНПК
ОГЛАВЛЕНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ.. 3
2. ЦЕЛИ И ЗАДАЧИ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ ОБЩЕСТВА.. 3
3. ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ.. 4
4. КЛАССИФИКАЦИЯ РИСКОВ.. 5
5. ЭЛЕМЕНТЫ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ.. 6
6. ПРОЦЕССЫ УПРАВЛЕНИЯ РИСКАМИ.. 7
7. ОРГАНИЗАЦИОННАЯ СТРУКТУРА СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ.. 8
8. СТРУКТУРА НОРМАТИВНОЙ ДОКУМЕНТАЦИИ ПО УПРАВЛЕНИЮ РИСКАМИ.. 10
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.. 11
ПРИЛОЖЕНИЕ. ГЛОССАРИЙ.. 12
1.1. Политика управления рисками (далее Политика) Акционерного общества «Перестраховочная компания НПК») (далее Общество) определяет общие подходы к управлению рисками, возникающими в процессе достижения Обществом целей своей деятельности и, в том числе, выполнения функций, возложенных на него Законом Российской Федерации от 27.
1.2. Политика определяет концепцию интегрированного управления рисками, включая цель и задачи, принципы управления рисками; классификацию рисков; элементы системы управления рисками, в том числе ключевые процессы и организационную структуру управления рисками.
1.3. Настоящая Политика разработана на основе международных стандартов и практик в области риск-менеджмента и соответствует требованиям российского законодательства.
1.4. Настоящая Политика обязательна к применению всеми структурными подразделениями Общества.
2.1. Деятельность по управлению рисками является неотъемлемой частью корпоративного управления, направленной на достижение стратегических целей Общества и выполнения функций, возложенных законодательством, обеспечение роста стоимости Общества при соблюдении баланса интересов всех заинтересованных сторон.
2.2. Деятельность по управлению рисками является систематической, интегрированной в стратегическое и оперативное управление на всех уровнях, охватывающих все подразделения и всех работников Общества при осуществлении ими своих функций в рамках любых бизнес-процессов.
· обеспечение устойчивого развития Общества в рамках реализации стратегии Общества;
· обеспечение и защита интересов акционеров, кредиторов, клиентов Общества и иных лиц, с учетом того, что указанные лица заинтересованы в том, чтобы принимаемые Обществом риски не создавали угрозы для существования Общества;
· своевременная адаптация Общества к изменениям во внешней и внутренней среде;
· повышение эффективности стратегического планирования и управления капиталом с учетом уровня принимаемого риска, и, как следствие, увеличения рыночной стоимости Общества.
2.4. Цель управления рисками достигается посредством решения следующих основных задач:
· разработка и реализация комплекса мер, направленных на снижение негативного влияния неопределенности на деятельность Общества до допустимых (приемлемых) уровней;
· разработка и реализация комплекса мер, направленных на информационное и аналитическое обеспечение процессов принятия управленческих решений и планирования деятельности Общества;
· обеспечение соответствия системы управления рисками Общества состоянию внутренней и внешней среды и ее адекватности организационной структуре, с учетом необходимой адаптации к изменениям во внешней и внутренней среде;
· развитие риск-культуры в Обществе.
3.1. Система управления рисками Общества удовлетворяет следующим основным принципам:
3.1.1. осведомленность о риске — процесс управления рисками затрагивает каждого сотрудника Общества. Принятие решений о проведении любой операции производится только после всестороннего анализа рисков, возникающих в результате такой операции, что предполагает предварительное проведение идентификации и оценки соответствующих рисков;
3.1.2. адресная ответственность — руководство Общество, руководители и работники структурных подразделений несут ответственность за управление рисками Общества в соответствии с предоставленными им полномочиями;
3.1.3. интеграция в бизнес-процессы — управление рисками является неотъемлемой частью бизнес-процессов Общества, в том числе принятия управленческих решений, как на уровне стратегии, так и на операционном уровне;
3.1.4. обеспечение «трех линий защиты» — управление рисками осуществляется на трех уровнях:
· принятие рисков — на уровне владельцев рисков, непосредственно выполняющих бизнес-процессы и управляющих связанными с ними рисками;
· управление рисками — на уровне подразделений, выполняющих методологические и контрольные функции по управлению рисками;
· аудит — на уровне подразделения, осуществляющего независимую оценку системы управления рисками (внутренний аудит).
В случаях совмещения каких-либо из вышеуказанных «линий защиты» в рамках одной организационной единицы Обществом принимаются меры, направленные на предотвращение возможного конфликта интересов.
3.1.5. совершенствование деятельности — Общество постоянно совершенствует систему управления рисками, включая информационно-техническое обеспечение, процедуры и методики с учетом изменений во внешней и внутренней среде, нововведений в мировой практике управления рисками;
3.1.6. непрерывность и поступательность – управление рисками представляет собой постоянно функционирующий цикличный процесс, охватывающий все подразделения Общества;
3.1.7. существенность и целесообразность — принятие решений о реагировании на риски осуществляется с учетом оценки эффективности принимаемых решений — исходя из уровня рисков и с учетом соотношения затрат и выгод от реализации мер реагирования на риски.
4.1. В деятельности Общества возникают различные виды рисков, реализация которых способна препятствовать достижению целей и выполнению функций Общества.
· страховые риски;
· финансовые (инвестиционные) риски;
· нефинансовые риски.
4.2. Страховые риски — риски, непосредственно возникающие в процессе страхования:
· риски премии и резервов – риски потерь или неблагоприятного изменения стоимости страховых обязательств вследствие неопределенности относительно времени наступления, частоты и тяжести страховых случаев, а также величины и времени осуществления окончательных выплат;
· риск концентрации страхового портфеля – риск потерь или неблагоприятного изменения стоимости страховых обязательств, связанный с одновременным наступлением страховых событий в отношении ряда крупных индивидуальных застрахованных объектов и (или) рисков.
· риск катастрофы – риск потерь или неблагоприятного изменения стоимости страховых обязательств, связанный с одновременным наступлением множества страховых событий в результате стихийных бедствий и (или) техногенных катастроф.
4.3. Финансовые риски – риски потерь, возникающие в результате неблагоприятных изменений в стоимости активов и обязательств Общества:
· рыночные риски – риски потерь, связанные с изменением рыночных цен или волатильности цен от ожидаемых значений: валютный риск, риск акций, процентный риск, риск спрэда, риск стоимости недвижимости и т.д.;
· кредитный риск – риск потерь, связанные с невыполнением контрагентами обязательств перед Обществом;
· риск ликвидности – риск дополнительных потерь, возникающий при быстрой реализации активов в случае необходимости, связанный с недостаточной ликвидностью активов Общества;
· риск концентрации – риск потерь, связанный с недостаточной диверсификацией активов и(или) обязательств Общества.
4.4. Нефинансовые риски – прочие риски, возникающие в результате деятельности Общества, в результате воздействие внешних и внутренних факторов:
· операционный риск — риск потерь или иных негативных последствий вследствие нарушений бизнес-процессов, недостаточной эффективности бизнес-процессов и организационной структуры Общества, действий (бездействия) работников Общества, сбоев в работе или недостаточной функциональности ИТ-систем и прочих технологических систем, а также вследствие влияния внешних факторов, включая умышленней действия третьих лиц и т.
· стратегический риск — риск недостижения целей деятельности, ненадлежащего выполнения функций Общества вследствие ошибок (недостатков) при принятии решений, определяющих стратегию Общества, или их несвоевременного принятия;
· репутационный риск — риск возникновения у Общества убытков вследствие формирования негативного представления о финансовой устойчивости Общества, качестве оказываемых им услуг или характере деятельности в целом.
· страновой/политический риск – риск наступления нежелательных последствий, способных принести ущерб интересам Общества, по причине изменения различных условий деятельности, в том числе экономических и политических, в Российской Федерации.
5.1. Для эффективного функционирования системы управления рисками Общество обеспечивает наличие следующих элементов системы управления рисками:
· процессы управления рисками – Общество организует эффективные процессы по выявлению, анализу, оценке, контролю рисков и методов их управления, а также отчетности по рискам;
· организационная структура системы управления рисками — Общество формирует структуру, обеспечивающую отсутствие конфликта интересов и независимость подразделений, осуществляющих анализ, оценку и контроль рисков от подразделений, совершающих операции, подверженные рискам;
· методология управления рисками – Общество обеспечивает развитие единой системы методологического обеспечения и валидации для обеспечения точности оценок и надежности процессов управления;
· риск-культура – Общество стремится обеспечить пронизывающее все уровни понимание, что управление рисками является всеобщей задачей и ответственностью;
· ресурсы – Общество обеспечивает необходимые кадровые, материальные информационные ресурсы для эффективного функционирования системы управления рисками.
5.2. Необходимым условием эффективного функционирования системы управления рисками Общества является ее периодический пересмотр с учетом:
· изменений во внутренней и внешней среде;
· изменений в подходах Общества к управлению рисками, результатах соотнесения указанных подходов с передовой международной теорией и практикой в области управления рисками;
· результатов мониторинга и независимой оценки системы управления рисками Общества.
6.1. Процесс управления рисками Общества является неотъемлемой частью системы управления компании, частью культуры и практики Общества. Общество стремится к соответствию процессов управления рисками текущему состоянию бизнес-процессов.
6.2. Система управления рисками функционирует на основе реализации повторяющегося цикла процесса управления рисками:
· идентификация рисков;
· оценка рисков;
· реагирование на риски;
· контроль рисков;
· подготовка отчетности по рискам;
· мониторинг.
6.3. Идентификация риска — процесс обнаружения, распознавания и описания рисков, включающее в себя распознавание источников риска, событий, их причин и возможных последствий. Общество разрабатывает политику и процедуры обеспечения идентификации, измерения и отчетности для всех существенных рисков.
6.4. Оценка рисков проводится по двум основным параметрам – вероятности их возникновения и степени потенциального ущерба. Оценка параметров риска может носить качественный или количественный характер. Общество стремится разрабатывать и применять преимущественно количественные методы оценки рисков.
6.5. Общество определяет допустимый уровень рисков на основе:
· четко сформулированных параметров и критериев аппетита к риску Общества — совокупного уровня рисков, который готово принять Общество с учетом вероятности возникновения возможных убытков, ведущих к потере финансовой устойчивости Общества;
· показателей совокупного риска Общества, полученного путем агрегирования рисков – требования к достаточности капитала;
· процедур распределения совокупного риска между различными видами риска.
6.6. Реагирование на риски предполагает сравнение уровней рисков, полученных в результате оценки рисков, с допустимым (приемлемым) уровнем, их приоритизацию (ранжирование) c последующим принятием на данной основе решения о способе, мерах реагирования на риски и необходимых контрольных процедурах. Основными методами реагирования на риск являются:
· принятие риска;
· увеличение риска для использования благоприятной возможности;
· ограничение (минимизация) риска;
· перенос (передача) риска;
· отказ (уклонение) от риска.
6.7. Одновременно с принятием решений о мерах воздействия на риск осуществляется разработка контрольных процедур, обеспечивающих надлежащее исполнение запланированных мер и (или) анализ их эффективности, а также методов мониторинга за их исполнением и необходимым форм отчетности.
6.8. В отношении рисков, реализация которых способна вызвать нарушения критически важных бизнес-процессов Общества, реализуется комплекс мер по обеспечению непрерывности деятельности.
6.9. Неотъемлемой частью всего цикла управления рисками Общества являются коммуникации и консультации.
6.10. Деятельность по риск-менеджменту является прослеживаемой. Результаты выполнения процессов управления рисками Общества фиксируются документально.
7.1. Органы управления, подразделения и сотрудники Общества, участвующие в процессе управлении рисками:
· Наблюдательный совет;
· Комитет по рискам Наблюдательного совета;
· Совет по перестрахованию;
· Правление;
· Президент-Председатель Правления;
· Комитет по рискам Общества;
· Управление актуарных расчетов и риск-менеджмента;
· Внутренний аудитор;
· Структурные подразделения Общества.
7.2. Наблюдательный Совет Общества:
· определяет приоритетные направления деятельности Общества в области страховых, финансовых и нефинансовых рисков;
· создает условия для формирования системы управления рисками и осуществляет общий контроль ее эффективности;
· устанавливает параметры аппетита к риску Общества;
· утверждает Политику управления рисками;
· утверждает Положение об оценке страховых рисков и управлении страховыми рисками Общества;
7. 3. Комитет по рискам Наблюдательного совета вырабатывает рекомендации по стратегии управления рисками и капиталом Общества, а также по порядку управления наиболее значимыми для Общества страховыми, финансовыми и нефинансовыми рисками, а также иные, связанные полномочия, в соответствии с Положением о Комитете по рискам Наблюдательного совета Общества.
7.4. Совет по перестрахованию предварительно рассматривает Положение об оценке страховых рисков и управлении страховыми рисками Общества.
7.5. Правление
· рассматривает и утверждает внутренние регламентирующие документы Общества в области риск-менеджмента;
· принимает решения по организации и совершенствованию системы управления рисками;
7.6. Президент-Председатель Правления осуществляет общее руководство процессом управления рисками и несет ответственность за эффективность процесса управления рисками Общества.
7.7. Комитет по рискам Общества:
· регулярно рассматривает вопросы управления рисками Общества и ее развития;
· регулярно рассматривает отчетность по рискам Общества;
· готовит рекомендации и проекты решений по вопросам управления рисками;
· рассматривает и готовит проекты регламентирующих документов системы управления рисками;
· осуществляет надзор за деятельностью подразделений в рамках системы управления рисками.
7.8. Управление актуарных расчетов и риск-менеджмента координирует процесс управления рисками в части:
· разработки политики управления рисками Общества;
· разработки или участия в разработке стратегических, методологических и организационных документов, связанных с управлением рисками в Обществе;
· организации процесса идентификация, оценки и мониторинга рисков;
· разработки предложений и рекомендаций по минимизации рисков;
· подготовки отчетности по рискам;
· подготовка сводной информации о процессе управления рисками;
· контроль за своевременным исполнением своих обязанностей участниками процесса управления рисками.
7.9. В компетенцию внутреннего аудитора входит оценка эффективности управления рисками, основанном на суждении по итогам оценки следующих категорий: цели Общества соответствуют его миссии; существенные риски выявляются и оцениваются; выбираются такие меры реагирования на риски, которые позволяют удерживать риски в рамках аппетита к риску Общества.
7.10. Другие структурные подразделения участвуют в процессе управления рисками в рамках своей компетенции, определенной положениями о подразделениях и иными внутренними документами Общества, в том числе:
· предоставляют Управлению актуарных расчетов и риск-менеджмента информацию, необходимую для осуществления ими своих функций в области управления рисками;
· выполняют решения органов управления Общества по управлению рисками;
· несут ответственность за эффективное управление рисками, присущим процессам в зоне ответственности подразделения;
· несут ответственность за выявление и контроль уровня операционного риска в зоне ответственности подразделения.
8.1. Нормативная документация по управления рисками Общества включена в Кодекс по Управлению рисками (далее – Кодекс). Кодекс представляет собой развивающийся документ, пополняемый по мере формализации бизнес-процессов Общества, и как следствие практик по управлению связанных с ними рисков.
8.2. Кодекс по управлению рисками Общества является иерархическим документом и должен состоять, как минимум, из следующих компонент:
· Политика управления рисками — документ верхнего уровня, описывающий принципы и требования к системе управления рисками;
· Декларация об аппетите к риску — документ верхнего уровня, формулирующий подход Общества к определению совокупного уровня допустимого риска;
· Методология управления рисками — документ верхнего уровня, содержащий описание общих методологических принципов, методов и инструментов, применяемых Обществом для управления рисками, требований к подчиненным документам.
· Положение о выявлении и оценке рисков — подчиненный документ, содержащий требования к процессам по выявлению и оценке рисков, периодичности, форматам представления информации и т.д.
· Положения по управлению отдельными рисками – подчиненные документы, содержащие описание показателей рисков, методики оценки уровня рисков, процессы принятия решений по реагированию на риск, требования к процедурам контроля рисков, формату и содержанию отчетности по рискам и т. д.
· Положение о проведении оценки достаточности капитала – подчиненный документ, описывающий методологию, предположения, модели, данные, процессы расчета собственного капитала и его аллокации на отдельные виды деятельности.
· Положения по обеспечению непрерывности деятельности по критичным рискам – подчиненные документы, содержащие описание критически важных бизнес-процессов; перечень возможных чрезвычайных ситуаций, несущих критический риск для Общества; порядок выявления и проведения анализа факторов возникновения чрезвычайных ситуаций, которые способны привести к приостановлению критически важных процессов; перечень мероприятий, направленных на минимизацию вероятности наступления и возможных последствий данных событий, а также мер реагирования в случае их наступления.
· Регламент отчетности по рискам — подчиненный документ, содержащий перечень отчетов по рискам, срок предоставления и процессы их формирования.
· Реестр рисков – рабочий документ, содержащий текущий перечень рисков, воздействию которых подвержено Общество, с указанием всех атрибутов рисков.
8.3. Упомянутые выше компоненты могут иметь, в свою очередь, свои подчинённые документы (методики, регламенты и т.д.).
Настоящая Политика утверждается Наблюдательным советом Общества и подлежит пересмотру по мере изменения требований регулирующих органов государственной власти и появления новых эффективных методов и инструментов управления рисками в соответствии с лучшей международной практикой.
Бизнес-процесс. Совокупность взаимосвязанных последовательных действий, выполняемых структурными подразделениями Общества и направленных на обеспечение функций и целей деятельности Общества.
Валидация. В области управления рисками Общества данный термин может применяться в следующих значениях:
- валидация данных – процесс анализа данных о рисках или риск-событиях на предмет их полноты и адекватности на агрегированной основе;
- валидация моделей оценки рисков – процесс независимого тестирования и оценки применяемых в Обществе моделей оценки рисков для подтверждения их заявленных характеристик и соответствия данных моделей целям их разработки и применения.
Верификация. Процесс последующей проверки полноты и корректности данных в отношении конкретного риска Общества или риск-события.
Вероятность. Возможность реализации риска. Вероятность может быть оценена количественно (в т.ч. в процентах, с указанием частоты реализации риска) или качественно.
Владелец риска. Руководство, коллегиальный орган, структурное подразделение, уполномоченный работник Общества, которые в соответствии с нормативными и иными актами Общества наделены полномочиями и несут ответственность за управление риском Общества.
Внешняя среда. Совокупность внешних условий (экономических, правовых, рыночных, социокультурных, политических и других), в которых Общество стремится достичь целей своей деятельности и выполнить свои функции.
Внутренняя среда. Совокупность внутренних условий (целей, стратегий, организационной структуры, процессов принятия решений, внутренних взаимосвязей, ИТ-систем и других), направленных на обеспечение достижения Обществом целей своей деятельности и выполнения функций.
Воздействие. Степень влияния реализации риска на достижение целей деятельности и выполнение функций Общества. Воздействие может быть оценено по различным негативным последствиям для Общества, которые могут возникнуть вследствие реализации риска.
Допустимый (приемлемый) уровень риска. Уровень риска, который Общество готово принимать на себя, обеспечивая достижение целей своей деятельности и выполнение своих функций.
Заинтересованная сторона. Руководство, коллегиальные органы, структурные подразделения, уполномоченные работники Общества, а также внешние организации и лица, которые могут оказывать влияние или подвергаться воздействию рисков Общества.
Идентификация рисков. Процесс выявления, составления перечня и описания рисков Общества.
Карта рисков. Способ визуального представления профиля рисков Общества, позволяющий осуществить их приоритизацию (ранжирование). Как правило, это двухмерное представление рисков в матрице (5×5, 4×4 или др. ), где на одной оси показано воздействие, а на другой – вероятность.
Коммуникации и консультации. Процесс фиксирования и обмена информацией между субъектами управления рисками Общества в ходе выполнения процессов управления рисками.
Критерии риска. Критерии, по которым осуществляется оценка риска и его сравнение с допустимым (приемлемым) уровнем.
В качестве критериев риска могут применяться вероятность, воздействие, скорость активации риск-события, уязвимость и другие критерии, выбор которых осуществляется с учетом внешней и внутренней среды и требований законодательства, нормативных и иных актов Общества.
Критически важные бизнес-процессы. Бизнес-процессы финансовой организации, приостановление которых влечет нарушение нормального осуществления деятельности финансовой организации, ее контрагентов и (или) ее клиентов, в том числе создает угрозу полной утраты их жизнеспособности.
Методология управления рисками. Совокупность методов, способов и инструментов, применяемых для управления рисками Общества.
Модель оценки риска. Экономико-математическая модель, включающая описание методов оценки, допущений, условий и ограничений ее применения, позволяющая оценивать и прогнозировать характеристики моделируемого риска.
Мониторинг рисков. Процесс наблюдения за рисками Общества, в том числе за их уровнем, его соответствием допустимому (приемлемому) уровню, внедрением мер реагирования на риски и контрольных процедур, эффективностью данных мер и процедур, а также анализа внешней среды.
Мониторинг системы управления рисками. Наблюдение за функционированием системы управления рисками Общества с целью получения информации о наличии и порядке применения установленных в Обществе методов и процедур управления рисками.
Неопределенность. Неспособность точно знать что-либо заранее в условиях отсутствия или недостатка информации.
Непрерывность деятельности. Способность Общества планировать и применять меры, направленные на обеспечение бесперебойного функционирования (эффективного восстановления) ключевых бизнес-процессов Общества.
Объект риска. Бизнес-процесс Общества, материальный или нематериальный актив Общества, подверженный риску.
Ограничение (снижение уровня, минимизация) риска. Способ реагирования на риск, при котором реализуются меры по снижению вероятности и (или) воздействия риска Общества с целью приведения его уровня в соответствие с допустимым (приемлемым) уровнем.
Описание рисков. Структурированное представление элементов рисков Общества.
Остаточный риск. Риск Общества с учетом существующих мер реагирования на него и контрольных процедур.
Организационная структура управления рисками. Совокупность используемых в Обществе подходов к организации управления рисками (модели управления рисками), субъектов управления рисками, их полномочий и взаимосвязей между ними.
Отчетность о рисках. Структурированная форма предоставления внутренним или внешним пользователям Общества информации о рисках Общества и управлении ими.
Оценка риска. Процесс определения уровня риска Общества с использованием установленных в Обществе критериев риска.
Перенос (передача) риска. Способ реагирования на риск Общества, при котором принимается решение о передаче всех или части последствий реализации риска на стороннюю организацию (лицо). Основными формами переноса (передачи) риска Общества являются перестрахование и хеджирование.
Пересмотр системы управления рисками. Процесс оценки эффективности системы управления рисками Общества, в том числе используемых подходов и методологии управления рисками Общества, с внесением в нее изменений (при необходимости).
Подверженность риску. Возможность реализации риска Общества в отношении конкретного объекта риска Общества.
Последствие. Следствие наступления риск-события.
Принятие риска. Способ реагирования на риск Общества, при котором принимается решение о сохранении риска на существующем уровне и продолжении мониторинга риска.
Приоритизация (ранжирование) рисков. Процесс определения наиболее значимых рисков Общества с учетом их уровня.
Присущий риск. Риск Общества до мер реагирования на него и контрольных процедур.
Причина. Явление, действие, непосредственно приводящие к реализации риска Общества.
Профиль рисков. Совокупность рисков, присущих Обществу, структурному подразделению Общества, конкретной функции/ направлению деятельности, бизнес-процессу Общества.
Процесс управления рисками. Последовательность действий, осуществляемых в рамках деятельности по управлению рисками Общества.
Реагирование на риск. Процесс принятия решения о работе с риском Общества. Способы реагирования: ограничение (снижение уровня, минимизация) риска, перенос (передача) риска, финансирование риска, уклонение от риска (избегание риска), принятие риска. Меры реагирования – конкретные действия в рамках реализации указанных способов реагирования на риск.
Реестр рисков. Структурированный перечень данных об идентифицированных рисках Общества.
Риск. Возможность негативного влияния неопределенности на достижение целей деятельности и выполнение функций Общества.
Аппетит к риску. Количественный и (или) качественный показатель, определяющий допустимый (приемлемый) уровень риска Общества.
Аппетит к риску может быть различным для разных видов рисков Общества, функций/направлений деятельности и бизнес-процессов Общества и может изменяться при изменениях во внутренней и внешней среде.
Риск-культура. Совокупность ценностей, убеждений, пониманий, знаний, норм поведения и практик в отношении рисков Общества и управления ими, разделяемых и принимаемых всеми работниками Общества.
Риск-метрика. Показатель, характеризующий уровень риска Общества.
Риск-событие. Событие, которое привело, могло привести или может привести в будущем к негативным последствиям для достижения целей деятельности и выполнения функций Общества. Риск-событие также может привести к возникновению новой неопределенности.
Риск-фактор (источник риска). Деятельность, явление, обстоятельство, которое самостоятельно или в комбинации с другими имеет внутренний потенциал к возникновению или повышению уровня риска Общества.
Система управления рисками. Совокупность взаимосвязанных элементов, обеспечивающих реализацию целей, задач и принципов управления рисками Общества.
Скорость активации события. Время с момента наступления риск-события до момента, когда Общество начинает ощущать его последствия.
Субъекты управления рисками. Руководство Общества, коллегиальные органы, структурные подразделения Общества и их работники, осуществляющие управление рисками Общества в соответствии с полномочиями, определенными федеральными законами, нормативными и иными актами Общества.
Таксономия рисков. Категоризация, обеспечивающая системный подход к анализу данных о рисках Общества посредством определения применяемых в Обществе видов (групп) риск-событий, причин и последствий реализации рисков, других категорий.
Угроза (опасность). Источник потенциального вреда.
Уклонение от риска (избегание риска). Способ реагирования на риск Общества, при котором принимается решение отказаться от деятельности, сопряженной с риском.
Управление рисками. Системный процесс разработки, применения и пересмотра политик, методов, способов и инструментов идентификации, оценки рисков, реагирования на риски и мониторинга рисков Общества в целях достижения целей деятельности и выполнения функций Общества.
Уровень риска. Величина риска Общества, определенная с использованием критериев риска в порядке, установленном нормативными и иными актами Общества.
Финансирование риска. Способ реагирования на риск Общества, при котором принимается решение о создании провизий под активы (условные обязательства) Общества или провизий на покрытие иных потерь.
Частота. Количество случаев наступления событий за определенную единицу времени. Может применяться при разработке и использовании шкалы оценки риска.
Шкала оценки риска. Способ определения оценок по различным критериям риска (как правило, вероятности и воздействия), предусматривающий выбор оценки с использованием установленных градаций оценок и соответствующих им описаний.
Элементы риска. Риск-факторы (источники риска), риск-события, причины и последствия.
Эскалация. Процесс вынесения вопросов, касающихся управления рисками Общества, на рассмотрение руководству Общества, коллегиальным органам, уполномоченным работникам Общества, обладающим необходимыми полномочиями и компетенцией для принятия решения.
Организация мероприятий по управлению риском на промышленном предприятии
Организация мероприятий по управлению риском на промышленном предприятии
Участники проектов включают самых разнообразных игроков , производителей, транспортные организации, потребителей, банки, торговые, промышленные предприятия. При реализации проекта все они имеют свои экономические задачи, интересы и сформированные стратегии, а соответственно модели управления теми видами риска, которые имеют к ним наибольшее отношение. Выбор вариантов управления может быть различным, точно так же как формируемые портфели инструментов для управления риском, которые развиваются со временем, приспосабливаясь к меняющимся рыночным условиям. Однако технология управления рисками основа любой модели управления риском является неизменной и включает следующие последовательно выполняемые элементы установление рисков (выявление источников и типов риска) оценку (измерение) рисков, анализ факторов и условий, влияющих на вероятность риска, размеры потерь и ущербов, а также предельные (нормативные) уровни рисков выбор способов и определение средств для сокращения и удержания рисков ситуационный контроль за рисками, сравнение с допустимым (нормативным) уровнем рисков, проведение мероприятий по разрешению рисков, их корректировку с учетом складывающейся ситуации покрытие ущербов и ликвидацию других негативных последствий проявления рисков накопление и обработку ретроспективной информации о рисковых ситуациях и последствиях проявления рисков, выработку рекомендаций для учета полученного опыта в будущем. [c.518]Можно также оценить эффективность управления риском с точки зрения обеспечения общей устойчивости деятельности предприятия. В качестве примера рассмотрим ситуацию, когда организация принимает решение инвестировать средства в повышение надежности и бесперебойности функционирования производственного цеха или промышленной установки. Финансовые мероприятия, такие, как страхование, для этих целей подходят больше. Известно, что, начиная с определенного уровня, затраты на прямое снижение риска при помощи организационно-технических мер растут более быстрыми темпами, чем снижается сам риск. Иначе говоря, если повышение надежности устройства с 97 до 98% требует некоторой суммы S, то повышение надежности с 98 до 99% требует затрат уже в несколько раз больше, например 2S. Стопроцентной надежности, как известно, никогда не достигается, т.е. в этом случае затраты равны бесконечности. [c.169]
Смотреть главы в:
Управление риском -> Организация мероприятий по управлению риском на промышленном предприятии
Система управления рисками в организации и на предприятии
Современный деловой мир динамичен. После двух лет междувременья (2014-2015 гг.) постепенно проступают черты новой реальности для перспектив развития бизнеса в России. В условиях сжавшегося рынка и слабого рубля предприятия вынуждены формировать и всемерно развивать свой экспортный потенциал, что потребует дополнительной перестройки менеджмента. В этой связи система управления рисками, которую так или иначе придется создавать предприятиям, может стать ресурсом привлекательности для инвесторов и фактором успеха на внешних и внутренних рынках.
Сущность управления рисками
Данная статья перекликается с материалами статьи на тему организационных аспектов риск-менеджмента на предприятии. Под управлением рисками предлагается понимать совокупность целенаправленных процедур по выявлению, оценке и уменьшению риска до установленных стратегическим выбором значений, предполагающая многоступенчатый процесс реализации. Экономической целью управления служит уменьшение или компенсация ущерба для организации при возникновении неблагоприятных последствий решений.
В условиях неопределенности хозяйственной деятельности предприятия управление риском представляет собой комплекс регулирования стратегических, тактических, проектных и оперативно-производственных отношений. Комплексный подход имеет ряд преимуществ (ниже размещена соответствующая схема), и с позиции функций управления задействуется практически весь арсенал средств менеджмента, включая компоненты финансового управления, логистики, экономики, учета, продаж и т.д. Комплекс процедур направлен на:
- прогнозирование рисковых событий и их идентификацию;
- обоснование уклонения от риска;
- обоснование допустимости риска;
- минимизацию риска с применением доступной гаммы инструментов;
- устранение причин и последствий рисковых событий;
- адаптацию компаний, выстоявших в кризисный период, к новым условиям хозяйствования;
- защиту от банкротства.
Схема демонстрации преимуществ комплексного подхода к управлению рисками
Неопределенность деятельности слабо коррелирует с масштабами деятельности. Действительно, регулярный менеджмент, который удается развернуть на крупных предприятиях, дает значительную «фору» в сравнении с эмпирическими методами управления в малом бизнесе. Но, во-первых, себестоимость управления резко возрастает, во-вторых, само число факторов риска становится значительно больше. Поэтому с уверенностью можно утверждать, что одним из условий успешности деятельности является исполнение руководством бизнеса, независимо от его размера, антирисковых мероприятий. Другой вопрос, насколько системным является управление рисками?
Объектами управления выступают собственно риск, экономические отношения, сопутствующие вероятным неблагоприятным событиям и рисковые инвестиции. Субъекты управления могут быть рассмотрены как в широком, так и в узком смысле слова. С общей позиции ими выступают все члены коллектива организации, включая руководителей и сотрудников. В узком смысле субъектами являются специально уполномоченные руководители, сотрудники и подразделения компании. Цели и задачи управления рисками связаны с этапами развития бизнеса и прохождения им стадий жизненного цикла. Схема изменения состава целей управления на этапах деятельности организации и соответствующие им задачи показаны на схеме далее.
Динамика целей и состав задач управления рисками по этапам развития компании
Понятие и содержание систем управления рисками
Система управления рисками (СУР) как совокупность взаимосвязанных элементов, с одной стороны, содержит две подсистемы: управляющую и управляемую. Кроме того, СУР выступает компонентом системы более высокого ранга – общекорпоративного менеджмента и руководствуется предписаниями стратегии организации. С другой стороны, система включает в себя технологический комплекс управления и комплекс организационных средств и структур. Обратите внимание на схему «Здания СУР», представленную далее. В ней отображены основные элементы системы управления рисками.
Схема «Здание СУР» во взаимосвязи технологических и организационных аспектов
Система управления рисками на предприятии – это элемент механизма внутреннего контроля и управления рисками, который является частью общекорпоративного управления, технологическим средством и инструментами, обеспечивающими эффективность функционирования риск-менеджмента. Данная система обеспечивает организационные предпосылки, принципы и структуры для проектирования, внедрения и совершенствования бизнес-процессов управления рисками организации. Таким образом, СУР создает инфраструктуру для риск-менеджмента на регулярной основе.
Обеспечение минимизации уровня неопределенности в отношении достижимости поставленных перед руководством задач, разработка и практическое развитие процессов управления рисками является главной целью СУР. Под указанными задачами рассматриваются результаты, подлежащие достижению согласно стратегии развития, в программах тактического и операционного уровней. СУР служит регламентированному управлению оцененными рисками, а также поддержанию на уровне предпочтительного приемлемого риска интегрального риска компании. Схема взаимосвязи управления интегральным риском с заинтересованными сторонами размещена ниже.
Схема урегулирования конфликта ведущих лиц бизнеса через управление интегральным риском
Система риск-менеджмента, особенно в крупных компаниях, называется корпоративной системой управления рисками (КСУР). Помимо простого расширения аббревиатуры, это, как правило, влечет повышение требований к уровню регламентации деятельности в рамках системы. С позиции решения основных задач в КСУР последовательно выполняются следующие этапы.
- Диагностика СУР на уровне единиц бизнеса и всей компании.
- Разработка основных структур КСУР (организационной, информационной, финансовой и т.п.).
- Создание регламентационного и методологического обеспечения КСУР.
- Структуризация баз данных по выявленным рискам и состоявшимся рисковым событиям.
- Разработка механизмов мониторинга и отчетности по возникшим событиям.
- Выявление, идентификация и оценка рисков, составление плана по их минимизации и компенсации.
- Формирование карты рисков.
- Интеграция процедуры актуализации карты в процесс бизнес-планирования.
- Анализ и оценка фактов реагирования на рисковые события.
Специфика стандартизации управления рисками
Системы управления рисками на отечественных предприятиях строятся на основе достаточно слабо адаптированных к нашим реалиям западных стандартов. Я не рассматриваю здесь опыт банков и страховых компаний. Представляется, что в данном секторе экономики точка невозврата пройдена и темпы развития риск-менеджмента и поддерживающих их СУР можно считать удовлетворительными. Интересует, на что могут опереться российские компании, в первую очередь, производственного сектора, чтобы достаточно оперативно нарастить свой потенциал управления рисками? Для этого нужно коснуться истории развития системного подхода к риск-менеджменту в мире и в нашем государстве.
Схема мировой истории развития стандартов в области управления рисками
Состав действующих национальных и международных стандартов в области риск-менеджмента
Выше представлены схема истории стандартизации и состав действующих стандартов в области риск-менеджмента в мире. Очевидно, что для того чтобы российское предприятие удовлетворяло запросам инвесторов и вызывало доверие на международной арене, подход к построению КСУР должен быть, по крайней мере, близок к мировым стандартам. И чтобы удовлетворить требования биржевых торговых площадок, международного и российского корпоративного законодательства, сама система должна быть прозрачна и понятна для компетентного заинтересованного лица.
Модель управления рисками COSO ERM не является стандартом и представляет собой глубокую методологическую разработку. Поэтому куб COSO трудно обойти вниманием и не акцентировать его основные постулаты. Ниже представлены две схемы, дающие обзорную картину данной концепции. В модели:
- определены основные понятия системы внутреннего контроля;
- подробно описаны основные компоненты процесса управления рисками;
- представлена интегрированная модель управления рисками в кубической визуальной форме;
- выработаны принципы настоящей системы управления;
- сформулированы функции и обязанности участников процесса управления рисками;
- описан собственно процесс управления;
- даны рекомендации внешним и внутренним заинтересованным сторонам в обеспечении успешного функционирования СУР в компаниях.
Основные компоненты модели управления рисками COSO ERM
Компания всегда остается один на один со своими рисками и на внутренних рубежах занимает оборону от угроз и последствий их воплощения. Регулятивные органы также занимают свое место на «дальних подступах к фронту боевых действий». И поддержка регуляторов, безусловно, нужна бизнесу. Другое дело, что отечественные стандарты представляют собой «кальку» с западных аналогов. При этом нужно понимать, что реальная практика общей массы фирм в развитых странах ушла далеко вперед в силу более длительной истории и другого уровня управленческой культуры. Тем не менее, в качестве базиса предоставляемые регуляторами ресурсы полезны для старта внедрения КСУР.
Схема состава регуляторов, определяющих требования к СУР
Алгоритм построения КСУР в компании
Мы с вами помним аксиому, что менеджмент и его компоненты находятся в связке со стратегией компании. Она определяет принципы управленческой деятельности и основные акцентные точки. Специфика управления рисками состоит в том, что локальная стратегия работы с рисками подвергается серьезной корректировке в середине процесса управления. Для построения СУР важен опыт компании в практическом применении финансово-экономической теории, налогового и гражданского права, внешних нормативных актив и стандартов.
Внутренние и внешние опоры построения СУР в компании
Построение системы управления рисками по модели, которая предлагается ниже, основано на опыте российских компаний с ориентиром на методику COSO. Данная модель подразумевает следующие этапы алгоритма.
- Анализ среды. В первую очередь анализируют элементы внешней среды (деятельность ЦБ РФ, Госдумы, Минфина, ФНС и т.д.), предпринимательскую среду, конъюнктуру рынка, ресурсы предпринимательской деятельности. Все это создает внешние факторы риска.
- Установление заказчика процессов управления рисками. От этого зависит успех внедрения КСУР. Очень часто в российских компаниях заказчиком выступает финансовая служба, что связано с доминирующей ролью финансовых рисков функционирования компании. Заказчиком в ряде случаев выступает генеральный директор, и особенно ценно, если его начинания поддерживаются позицией основных акционеров.
- Определение организационной структуры управляющей подсистемы. Система может управляться специально выделяемым специалистом или руководителем обособленного подразделения, который координирует различные направления: рисковых вложений, страховых операций, венчурных инвестиций. Такое организационное построение носит название концентрированной модели. Вторым вариантом организации СУР может выступать распределенная модель управления рисками.
- Разработка регламентирующей документации системы: политики управления рисками, положения (концепции) по управлению рисками, декларации о рисках. Политика служит основным документом КСУР, она находится в общем доступе на корпоративном портале.
- Разработка и корректировка корпоративной карты рисков. Здесь циклически реализуются мероприятия по выявлению, идентификации и оценке рисков компании.
- Выработка стратегии управления рисками. В стратегии, помимо принципов выбора методов работы с рисками, механизмов их финансирования, особое место занимают показатели эффективности СУР и распределение зон ответственности между управляющей компанией и единицами бизнеса.
- Собственно реализация программы минимизации и компенсации рисков.
- Разработка процесса оперативного регулирования рисков.
- Регулярный аудит КСУР.
- Внедрение процедур информирования об изменениях в КСУР.
- Создание и развитие систем контроля и мониторинга.
- Внедрение процедур сохранения и архивирования информации, генерируемой в системе.
Принципы реализации СУР
Принципы функционирования СУР в компании определяют также процессы ее внедрения и развития. Данные принципы подлежат соблюдению руководителями, ответственными за исполнение процедур системы специалистами и всеми сотрудниками компании.
- Принцип ориентации на цели. Цели прописаны в стратегических документах компании: в стратегиях развития, плане стратегических мероприятий, корпоративных картах, бизнес-планах.
- Принцип балансировки рисков и прибыли. СУР должен способствовать балансу между риском и доходностью (прибыльностью) бизнеса с учетом требований законодательных актов и положений внутренних регламентов.
- Принцип учета неопределенности. Неопределенность присутствует в любой бизнес-деятельности и является неотъемлемой частью принимаемых в компании решений. СУР служит систематизации сведений об источниках (факторах) неопределенности и содействует ее снижению.
- Принцип системности. Системный подход позволяет вовремя и полноценно выявить, идентифицировать и оценить риски, снизить их негативные последствия или компенсировать влияние на результаты деятельности.
- Принцип качественной информации. Для функционирования СУР требуется своевременная, безопасная и точная информация. При принятии решений, тем не менее, нужно учитывать ограничения и допущения источников сведений, возможную субъективность позиции экспертов и особенности используемых методов оценки и моделирования рисковых ситуаций.
- Принцип закрепления ответственности за управление рисками. Вводится понятие «владелец риска», этот статус присваивается одному из руководителей компании. Ему придается ответственность за соответствующие процедуры управления в пределах приданных полномочий и функционального состава.
- Принцип эффективности. СУР должна обеспечивать разумное и экономически обоснованное сочетание результативности управления и расходов на его организацию и производство.
- Принцип непрерывности. СУР функционирует в условиях регулярности (цикличности) основных процессов и их непрерывности. Процессы системы берут начало в момент разработки стратегии компании и охватывают все области ее деятельности.
- Принцип интеграции. Система принятия решений на всех уровнях управления должна включать в свой состав предметную сферу СУР. Решения вырабатываются и утверждаются с учетом обстоятельств и вероятности возникновения неблагоприятных последствий, связанных с их принятием.
- Принцип расширенности. СУР предполагает выявление, оценку и урегулирование всех возможных угроз деятельности, не ограничиваясь только финансовыми и страхуемыми рисками. По трем последним принципам далее представлены схемы их основных элементов.
Состав процедур принципа непрерывности СУР
Состав процедур принципа непрерывности СУР
Схема основных элементов принципа расширенности СУР
Оценка компании на предмет управления рисками
Что делать компании, если она только задумывается о внедрении СУР или, если элементы системы уже присутствуют, но непонятно, как и в каком направлении двигаться дальше? Специалисты рекомендуют в таком случае выполнить анализ системы управления рисками на предприятии с целью определить ее сильные и слабые стороны и пути дальнейшего развития.
Действующим и потенциальным заинтересованным сторонам в деятельности компании и в инвестировании в нее очень полезно было бы узнать о реальном состоянии дел с позиции регулярного риск-менеджмента. Консалтинговая группа KPMG в 2015 году проводила исследование «Практика управления рисками в России», в котором к 48 респондентам обратились с вопросом о проведении диагностики СУР. Результаты ответов представлены на диаграмме далее.
Результаты опроса 48 компаний России о диагностике СУР. Источник: KPMG Россия. 2015
В исследовании отмечается, что в большинстве своем оценка системы проводится силами внутреннего аудита. Многие компании проводят диагностику силами других внутренних подразделений. Например, ответственность за эту работу возлагается на риск-менеджера или на подразделение, которое координирует функционирование СУР в компании. Значительная часть компаний приглашают консультантов. В основном это крупные компании и организации с участием иностранного капитала.
В любом случае, оценку системы проводить нужно и достаточно регулярно. Лучше, если диагностические мероприятия проводятся в независимом режиме, объективности больше. Однако на первых порах можно начать с процедуры самооценки. Это полезно и просто. Я бы предложил руководителю компании, начинающей работу в данном направлении, провести тестирование риск-менеджмента. Собрать совет директоров или правление, пригласить на него несколько перспективных и опытных специалистов, которые «болеют» за бизнес, и в режиме групповой работы заполнить размещенную ниже таблицу.
Таблица самооценки риск-менеджмента в компании
Выполните следующую инструкцию по работе с таблицей.
- Разбейте собравшихся руководителей и специалистов на четыре группы.
- Каждой группе выдайте пустой бланк таблицы.
- Попросите каждую группу перечислить пять наиболее важных рисков, с которыми сталкивается компания.
- Предложите участникам оценить каждый риск по 10-ти бальной шкале по критерию важности.
- Попросите оценить эффективность управления каждым из рисков.
- Соберите таблицы, поручите секретарю составить единый перечень рисков и подсчитать уровень разрыва для них в виде разницы между важностью и эффективностью.
- Если ответы у групп будут существенно отличаться, то рисков вероятно окажется значительно больше, чем можно было себе представить.
Современное состояние управления рисками в России
В условиях современных российских реалий, к сожалению, говорить о создании полноценной системы риск-менеджмента на малых предприятиях пока не приходится. Речь можно вести о крупных компаниях и части бизнеса среднего масштаба, но уже имеющего развитые элементы регулярного менеджмента. Надо понимать, что у нас часто риск-менеджмент прорастает поэлементно, по назревшей потребности (например, имеются техногенные угрозы, экологические риски, постоянные потери, возникающие при транспортировке грузов). На Западе превалирует интегрированный подход к созданию СУР, в нем управление выстраивается для всей гаммы факторов риска. При этом методики внедрения и архитектура системы носят унифицированный характер.
В России несколько иначе. Допустим, институт страхования рисков исторически сложился в компании, и он начинает обрастать дополнительными «опциями», постепенно расширяясь в спектре работы с рисками. И в какой-то степени «велосипед изобретается заново» по уникальному алгоритму. Я не беру во внимание компании с участием иностранного капитала или бизнес олигополий или монополий. В них реализуется подход как раз с западной рисковой культурой. К сожалению, на отечественных предприятиях недостаточно реализуется принцип комплексности СУР. Этому много причин.
- Первая, и, пожалуй, главная причина кроется в слабом осознании владельцами изменившейся среды бизнеса. Отдача от проектов внедрения СУР ими не ощущается в полной мере. Но ситуация быстро меняется, нужно выходить на внешние рынки. Это означает, что без реально работающих систем риск-менеджмента наши предприятия быстро проиграют конкуренцию. Владельцы бизнеса и топ-менеджмент уже начинают это понимать.
- Вторая причина лежит в относительно высоких и длительных расходах на развитие систем управления рисками, которые имеют большой период окупаемости. Это в условиях продолжительной кризисной ситуации в экономике не способствует выделению соответствующих бюджетов. Однако эффективность СУР, к счастью, нетрудно рассчитать. Достаточно собрать статистику потерь от реализованных угроз за последние несколько лет и отследить динамику их изменений. Необходимо вычесть из суммы снижения потерь расходы на внедрение системы и эффект станет очевиден. Этот простой расчет может быть положен в основу KPI для руководителя отдела и риск-менеджеров, стать интересным стимулом для прямой мотивации сотрудников.
Управление рисками – не первый и не последний компонент системы менеджмента компании, который предстоит российскому бизнесу интегрировать в сферу своей регулярной деятельности. Конечно, это происходит непросто и не так быстро, как хотелось бы. Однако события развиваются своим чередом, и особых альтернатив у нас нет. Регуляторам хочется пожелать на базе международного опыта и национальных стандартов сделать хороший шаг вперед и разработать действительно добротную отечественную методику, подобную COSO. Бизнесменам же я желаю, считая экономику, смелее внедрять КСУР, не боясь экспериментировать. Это эффективно.
P.M.Качалов «Управление хозяйственным риском»: Оглавление
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ 5
Глава 1
ХОЗЯЙСТВЕННЫЙ РИСК В МИКРОЭКОНОМИКЕ 12
1.1.1. Неопределенность и риск — современные концепции 12
1.1.2. Хозяйственный риск как экономическая категория 20
1.2. Хозяйственный риск и его операциональные характеристики 29
1.3. Парадокс риска и управление производственными предприятиями 32
1.4. Концепция приемлемого риска в управлении производственным предприятием 37
Глава 2
ФАКТОРЫ ХОЗЯЙСТВЕННОГО РИСКА В ДЕЯТЕЛЬНОСТИ ПРОИЗВОДСТВЕННОГО ПРЕДПРИЯТИЯ 44
2.1. Методы выявления и идентификации факторов хозяйственного риска 44
2.2. Классификация факторов хозяйственного риска в деятельности производственного предприятия 61
2.3. Внешние факторы риска производственного предприятия 65
2.4. Внутренние факторы риска хозяйственной деятельности предприятия 73
Глава 3
МЕТОДЫ УПРАВЛЕНИЯ ХОЗЯЙСТВЕННЫМ РИСКОМ 89
3. 1. Классификация методов управления хозяйственным риском 89
3.2. Характеристика основных методов управления хозяйственным риском на производственном предприятии 92
3.3. Методическое обеспечение деятельности предприятия по управлению хозяйственным риском 104
Глава 4
ОРГАНИЗАЦИОННЫЕ ОСНОВЫ УПРАВЛЕНИЯ РИСКОМ НА ПРОИЗВОДСТВЕННОМ ПРЕДПРИЯТИИ 114
4.1. Функционально-алгоритмическая структура подсистемы управления хозяйственным риском в системе управления предприятием 114
4.2. Организация управления хозяйственным риском на производственном предприятии 123
4.3. Хозяйственный риск в стратегических решениях предприятия 127
4.4. Некоторые оптимизационные подходы к управлению хозяйственным риском 134
Глава 5
ПРИМЕНЕНИЕ МЕТОДОВ ТЕОРИИ РИСКА К РЕШЕНИЮ НЕКОТОРЫХ СМЕЖНЫХ ЗАДАЧ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ СИСТЕМАМИ 138
5.1. Экономическая безопасность предприятия и хозяйственный риск 138
5. 2. Дуальное управление процессами создания и функционирования производственных систем с учетом риска 144
5.3. Управление качеством продукции по обобщенному критерию риска потери репутации производителя 150
5.4. Управление риском достижения заданных параметров производственных систем на основе информационно-избыточных технологий 155
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 162
ПРИЛОЖЕНИЯ 169
П2. Русскоязычная библиография по управлению хозяйственным риском и смежным вопросам. 1979-2001 гг. 179
Система управления рисками на предприятии: виды, методы
В статье дается определение рискам и описываются основные методы и системы управления ими. Также статья раскрывает особенности классификации основных рисков.
Что содержит в себе понятие системы управления рисками
Управление рисками – один из ключевых факторов успешности открытия нового бизнеса и развития уже существующего
Под системой управлением рисками понимается комплекс мероприятий по оценке вероятности возникновения негативных факторов, оказывающих влияние на результаты деятельности, а также разработку мер по противодействию этим факторам.
Что дает система управления рисками компании:
- достоверные прогнозы возникновения возможных рисков на любой стадии работы фирмы;
- анализ причин возникновения и комплексного влияния рисков;
- разработка стратегии по предотвращению негативных последствий действия рисковых факторов;
- благоприятные условия для осуществления подобных планов;
- системный мониторинг;
- анализ и контроль результатов, с целью повышения эффективности.
Разделение полномочий ответственных лиц при организации системы управления рисками осуществляет топ менеджмент. Основанием для решений должны быть цели и задачи организации, действующие правовые ограничения и уровень квалификации и опыта сотрудников, контролирующих процессы управления рисками.
Этапы управления рисками:
- выявление риска и определение степени его влияния на компанию;
- использование методов качественного и количественного анализа;
- составление и запуск работы по плану управления рисками;
- мониторинг и контроль надлежащего исполнения плана;
- выявление закономерностей между работой системы управлением рисками и текущими финансовыми результатами;
- заключение об эффективности.
Грамотно разработанная стратегия управления рисками позволяет в значительной степени снизить негативное влияние факторов неопределенности, постоянно воздействующих на любые виды бизнеса. При разработке проекта следует опираться на услуги профессионалов — скачайте с нашего сайта полноценный готовый бизнес-план, включающий расчеты основных экономических и финансовых показателей и анализ рисковой составляющей. В качестве альтернативы вы можете заказать индивидуальный бизнес-план «под ключ», в котором будут учтены все основные моменты организации деятельности конкретного предприятия в выбранной сфере.
Этапы управления рисками
Рассмотрим подробнее этапы управления рисками, как важную составляющую соответствующей стратегии
- Анализ риска – — это начальный этап, который позволяет составить описание и поучить представление о самом хозяйствующем объекте и рисках, которые могут негативно влиять на его деятельность. Чем больше информации о потенциальных рисках удастся собрать на этом этапе, тем проще будет разработать контрмеры:
- если риск непредсказуем, но выявлен, то есть возможности разработки вариантов его снижения;
- если риск не выявлен, то его наступление может поставить под удар весь проект, вплоть до фатальных для компании последствий.
В итоге, информация, собранная на этапе должна стать достаточным основание для проведения следующих этапов разработки системы управления рисками.
- Выявление существенных и несущественных рисков. В этом процессе разработчики часто опираются на закономерность, известную, как закон или правило Парето. Он гласит, что от 20% факторов зависит 80% результата. Это закономерно для любых сфер исследуемой деятельности. Для рисковой составляющей означает, что надо выделить те 20%рисковых переменных, которые способны принести до 80% потерь и негативного влияния на бизнес процессы.
- Качественный и количественный анализ.
Эти этапы отвечают за классификацию рисков и расчеты оцифрованных оценок вероятных потерь из-за влияния рисковых переменных. Качественный анализ включает:
- поиск причин и возможных источников риска, границы их влияния;
- однозначная идентификация каждого риска;
- определение негативных последствий и возможных выгод от претворения в жизнь решений с рисковыми переменными.
Шкала, используемая при качественной оценке рисков, предполагает сравнение категорий вероятности наступления и степени влияния (очень вероятно, вероятно, маловероятно, значительное влияние, незначительное влияние и т. д.).
Количественный анализ использует результаты качественного, как основу все расчетов. Основными результатами грамотного проведенного количественного анализа будет:
- степень вероятности наступления каждого неблагоприятного события;
- сумма возможного ущерба;
- уровень риска для каждой переменной.
В итоге, получаем классификацию рисков, которые используются для дальнейшей организации стратегии управления рисками:
- уровень влияния на работу предприятия;
- управляемость определенных рисков;
- источники возникновения.
Методы управления рисками
Существует множество методов управления рисками на предприятиях, к основным из которых можно отнести:
- Отказ от риска. Бывают ситуации, когда рисковая переменная слишком серьезно угрожает деятельности компании или проекту, и не существует реальных способов снижения этого риска. Чтобы избежать таких ситуаций, следует сознательно отказаться от этого направления деятельности или проекта, как заранее бесперспективного (Боитесь сломать ноги – не прыгайте с парашютом).
- Понижение частоты вреда или вероятности образования убытка. Этот метод управления рисками проекта предполагает подготовительную работу, которая направлена на снижение вероятности наступления рискового события и несения потерь. Пример – бизнесмены и политики нанимают охрану, чтобы снизить вероятность нападения и причинения вреда здоровью; все водители, перед тем как сесть за руль, проходят обучение; если в помещении хранятся горючие материалы, то его строительство осуществляется из негорючих, и т.д. Метод эффективен, когда существует значительная вероятность наступления риска.
- Снижение величины убытков. Если все усилия по снижению риска не принесли успеха, этот метод управления рисками предусматривает инструменты по снижению суммы полученного ущерба. Суть мероприятий – это превентивные действия, которые позволят снизить потери компании от наступления рисковых событий. Например, комплекс пожаротушения позволит сохранить часть имущества при возгорании; дифференциация политики инвестирования позволит сохранять среднюю доходность при изменении ставок по отдельным вкладам или ценным бумагам.
- Разделение потенциальных рисков. Суть метода – отсечение ситуации возникновения риска, как единичного случая, а не цепочки негативных событий. Практические способы:
- дифференциация или разделение рисков. То есть источники возникновения потерь или объекты, которым наступление риска причинит вред, разделяются в пространстве. Например, чтобы снизить риск потерь всего производства в случае наступления форс – мажорных обстоятельств, существует несколько резервных параллельных площадок для выпуска продукции, и остановка одной из них не приведет к остановке всего производства;
- дублирование важных элементов управленческих, финансовых или производственных схем, потенциально подверженных рискам. Метод управления рисками предполагает создание копий элементов или процессов, значимых для деятельности компании: резервные копии информационных ресурсов и важной документации, кадровый резерв на всех уровнях управления, запасы сырья и материалов и т.д.
Все описанные методы управления рисками позволяют снизит вероятность их наступления или степень негативного влияния на показатели деятельности компании.
Концепции систем управления рисками проекта или предприятия
После того, как вероятность наступления риска оценена, как и возможные потери, каждая организация выбирает свою стратегию комплексной защиты – в виде системы управления рисками предприятия.
Концепции таких стратегий многообразны, рассмотрим основные из них.
- Статическая или традиционная система управления рисками. В рамках стратегии и концепции, все мероприятия и решения по предотвращению и нивелированию эффекта от наступления рисков, остаются неизменными после принятия соответствующего управленческого решения. В современности подобные стратегии используются ф финансовой сфере и на небольших предприятиях с достаточно простой структурой капитала и деятельности.
- Современные тенденции по обеспечению постоянного роста и развития компании требуют новых систем управления рисками, к которым относится динамическая концепция риск менеджмента. Ее суть – это ответ на вопрос: насколько полно мы используем имеющиеся возможности и учитываем риски, чтобы обеспечивать постоянное развитие? Стратегия предполагает оценку риска, относительно того экономического эффекта, который компания может получить в виде дополнительной прибыли. Если соотношение вероятностей удовлетворяет владельца или топ — менеджера, то он идет на сознательный риск.
Первая стратегия – это стратегия конформистов и приспособленцев, которые реагируют реактивно, то есть по факту наступления события. Ее плюс – это большая вероятность стабильности в ведении дел, когда достигаются заложенные нормы прибыли и не происходит скачкообразных изменений. Другой полюс такого подхода – возможная стагнация, так как в современном мире ни одна компания не хочет оставаться на существующих позициях – все хотят улучшения текущих результатов.
Вторая система управления рисками также требует осторожности, так как в ней заложена возможность недооценки рисков и вероятность несения больших потерь.
В идеале, следует сочетать особенности двух подходов – учитывать риски и оценивать их последствия, но в то же время разумно рисковать – то есть использовать потенциал возможностей с большей рисковой составляющей, но и с большими ставками получения прибыли.
Система управления рисками необходима для любого проекта. Например, при разработке бизнес-плана в сфере услуг красоты, здоровья или спорта, вам нужно будет определить все потенциальные факторы риска.
Современные методы и стратегии риск менеджмента проектов и предприятий позволяют практически полностью обезопасить бизнес от негативных последствий, если их созданием и адаптацией занимаются профессионалы. Оцените квалификацию наших аналитиков – скачайте с нашего сайта полноценный структурированный бизнес-план, с основными расчетами финансовых и экономических показателей эффективности и оценкой существующих рисков. Тогда вы сможете вовремя открыть бизнес и занять желаемую долю рынка, с привлечением внешнего финансирования. Или закажите индивидуальный бизнес-план «под ключ», который позволит раскрыть всю специфику вашей бизнес идеи.
Что такое управление рисками предприятия (ERM)? | ERM — Инициатива по управлению рисками предприятия
Руководители организаций должны управлять рисками, чтобы организация оставалась в бизнесе. Фактически, большинство скажет, что управление рисками — это обычная часть ведения бизнеса. Итак, если управление рисками уже происходит в этих организациях, в чем смысл «управления рисками предприятия» (также известного как «ERM»)?
Давайте начнем с рассмотрения традиционного управления рисками
Руководители предприятий управляют рисками в рамках своих повседневных задач, как они это делали на протяжении десятилетий.Призывы к организациям принять управление рисками предприятия не означают, что организации не управляли рисками. Вместо этого сторонники ERM предполагают, что может быть полезно по-другому думать о том, как предприятие управляет рисками, влияющими на бизнес.
Традиционно организации управляют рисками, возлагая на руководителей бизнес-подразделений ответственность за управление рисками в пределах своей зоны ответственности. Например, главный технический директор (CTO) отвечает за управление рисками, связанными с операциями в области информационных технологий (ИТ) организации, казначей отвечает за управление рисками, связанными с финансированием и денежными потоками, главный операционный директор отвечает за управление производством и распределение, а главный директор по маркетингу отвечает за продажи, отношения с клиентами и так далее.Каждый из этих функциональных руководителей отвечает за управление рисками, связанными с их ключевыми сферами ответственности. Этот традиционный подход к управлению рисками часто называют управлением рисками в бункере или трубе, при котором каждый руководитель бункера несет ответственность за управление рисками в своем бункере, как показано на Рисунке 1 ниже.
Рисунок 1 — Традиционный подход к управлению рисками
Ограничения традиционных подходов к управлению рисками
Хотя возложение на экспертов функциональной предметной области ответственности за управление рисками, связанными с их бизнес-подразделением, имеет смысл, этот традиционный подход к управлению рисками имеет ограничения, которые могут означать, что на горизонте есть значительные риски, которые могут остаться незамеченными руководством и которые могут повлиять на организация. Давайте рассмотрим некоторые из этих ограничений.
Ограничение №1: Могут существовать риски «падения между бункерами», которые не видит ни один из лидеров бункеров. Риски не соответствуют организационной схеме руководства и, как следствие, могут возникать где угодно в бизнесе. В результате на горизонте может появиться риск, который не привлекает внимания ни одного из руководителей разрозненных мест, в результате чего этот риск остается незамеченным, пока он не вызовет катастрофическое событие риска. Например, ни один из разрозненных лидеров может не обращать внимания на демографические сдвиги, происходящие на рынке, когда перемещение населения в крупные городские районы происходит более быстрыми темпами, чем ожидалось.К сожалению, такой надзор может кардинально повлиять на стратегию розничной организации, которая продолжает искать объекты недвижимости в отдаленных пригородах или более сельских районах, окружающих небольшие города.
Ограничение № 2: Некоторые риски по-разному влияют на несколько разрозненных хранилищ. Таким образом, в то время как лидер может осознавать потенциальный риск, он или она может не осознавать значимость этого риска для других аспектов бизнеса. Риск, который кажется относительно безобидным для одного бизнес-подразделения, на самом деле может иметь значительный кумулятивный эффект для организации, если он произойдет и повлияет на несколько бизнес-функций одновременно.Например, руководитель отдела нормативно-правового соответствия может быть осведомлен о предлагаемых новых правилах, которые будут применяться к предприятиям, работающим в Бразилии. К сожалению, руководитель отдела нормативно-правового соответствия не принимает во внимание эти потенциальные нормативные изменения, учитывая тот факт, что в настоящее время компания ведет бизнес только в Северной Америке и Европе. Чего не понимает руководитель отдела комплаенс, так это того, что ключевой элемент стратегического плана включает в себя создание совместных предприятий с организациями, ведущими бизнес в Бразилии и Аргентине, а руководители стратегического планирования и операций не осведомлены об этих предлагаемых нормативных актах.
Ограничение № 3: В-третьих, при традиционном подходе к управлению рисками отдельные владельцы бункеров могут не понимать, как индивидуальная реакция на конкретный риск может повлиять на другие аспекты бизнеса. В этой ситуации владелец бункера может рационально принять решение о том, чтобы отреагировать определенным образом на определенный риск, влияющий на его или ее бункер, но при этом такая реакция может вызвать значительный риск в другой части бизнеса. Например, в ответ на растущую обеспокоенность по поводу киберрисков ИТ-служба может ужесточить протоколы ИТ-безопасности, но при этом сотрудники и клиенты находят новые протоколы сбивающими с толку и разочаровывающими, что может привести к дорогостоящим «обходным путям» или даже к потере бизнеса.
Ограничение №4: Очень часто в центре внимания традиционного управления рисками находится внутренняя линза, направленная на выявление рисков и реагирование на них. То есть руководство сосредотачивается на рисках, связанных с внутренними операциями внутри организации, с минимальным вниманием к рискам, которые могут возникнуть извне, извне бизнеса. Например, организация может не следить за действиями конкурента по разработке новой технологии, которая может существенно изменить то, как продукты используются потребителями.
Ограничение № 5: Несмотря на то, что большинство бизнес-лидеров понимают фундаментальную связь «риска и прибыли», бизнес-лидеры иногда с трудом связывают свои усилия по управлению рисками со стратегическим планированием. Например, при разработке и выполнении стратегического плана организации риски могут не учитываться должным образом, поскольку руководители традиционных функций управления рисками в организации не участвовали в процессе стратегического планирования. Новые стратегии могут привести к новым рискам, которые не учитываются традиционными разрозненными системами управления рисками.
Каковы последствия этих ограничений? На горизонте может быть широкий спектр рисков, которые традиционный подход руководства к управлению рисками не видит, как показано на рисунке 2. К сожалению, некоторые организации не осознают эти ограничения в своем подходе к управлению рисками, пока не стало слишком поздно.
Рисунок 2 — В настоящее время неизвестные, но известные риски, упускаемые из виду традиционным управлением рисками
Эффективное управление рисками предприятия (ERM) должно быть ценным стратегическим инструментом
За последнее десятилетие или около того ряд руководителей предприятий осознали эти потенциальные недостатки управления рисками и начали принимать концепцию корпоративного управления рисками как способ усилить надзор за рисками в своей организации.Они осознали, что ждать, пока не произойдет событие риска, слишком поздно для эффективного устранения значительных рисков, и они активно приняли ERM как бизнес-процесс, чтобы улучшить управление рисками для предприятия.
Целью управления рисками предприятия является формирование целостного портфельного представления о наиболее значительных рисках для достижения наиболее важных целей предприятия. Буква «e» в ERM сигнализирует о том, что ERM стремится создать вертикальное, корпоративное представление обо всех значительных рисках, которые могут повлиять на стратегические цели бизнеса.Другими словами, ERM пытается создать корзину всех типов рисков, которые могут повлиять — как положительно, так и отрицательно — на жизнеспособность бизнеса.
Эффективный процесс ERM должен быть важным стратегическим инструментом для руководителей бизнеса. Понимание рисков, возникающих в процессе ERM, должно стать важным вкладом в стратегический план организации. По мере того, как руководство и совет директоров становятся более осведомленными о потенциальных рисках на горизонте, они могут использовать эту информацию для разработки стратегий, позволяющих быстро управлять рисками, которые могут возникнуть и подорвать их стратегический успех.Упреждающее мышление о рисках должно обеспечивать конкурентное преимущество за счет снижения вероятности возникновения рисков, которые могут сорвать важные стратегические инициативы для бизнеса, и такое упреждающее мышление о рисках должно также повысить вероятность того, что организация лучше подготовлена к минимизации воздействия событие риска, если оно произойдет.
Как показано на рисунке 3, процесс ERM должен информировать руководство о рисках на горизонте, которые могут повлиять на успех основных движущих сил бизнеса и новых стратегических инициатив.
Рисунок 3 — ERM должен информировать стратегию бизнеса
Элементы процесса ERM
Поскольку риски постоянно возникают и развиваются, важно понимать, что ERM — это непрерывный процесс. К сожалению, некоторые рассматривают ERM как проект, у которого есть начало и конец. Хотя для первоначального запуска процесса ERM могут потребоваться аспекты управления проектом, преимущества ERM реализуются только тогда, когда руководство думает об ERM как о процессе, который должен быть активным и живым, с постоянными обновлениями и улучшениями.
Схема на рисунке 4 иллюстрирует основные элементы процесса ERM. Прежде чем рассматривать детали, важно сосредоточить внимание на овале фигуры и стрелках, соединяющих отдельные компоненты, составляющие ERM. Круговой поток диаграммы по часовой стрелке усиливает постоянный характер ERM. Как только руководство начинает ERM, оно находится в постоянном движении, чтобы регулярно выявлять, оценивать, реагировать и отслеживать риски, связанные с основной бизнес-моделью организации.
Рисунок 4 — Элементы процесса ERM
ERM начинается с того, что повышает ценность предприятия
Поскольку ERM стремится предоставить информацию о рисках, влияющих на достижение организацией ее основных целей, важно применить стратегический подход к идентификации, оценке и управлению рисками на горизонте. Эффективная отправная точка процесса ERM начинается с понимания того, что в настоящее время является движущей силой для бизнеса, и что в стратегическом плане представляет собой новые движущие силы для бизнеса.Чтобы гарантировать, что процесс ERM помогает руководству следить за внутренними или внешними событиями, которые могут вызвать возможности риска или угрозы для бизнеса, стратегически интегрированный процесс ERM начинается с глубокого понимания того, что является наиболее важным для бизнеса в краткосрочной и краткосрочной перспективе. долгосрочный успех.
Рассмотрим публичную компанию. Основная цель большинства публичных компаний — рост акционерной стоимости. В этом контексте ERM следует начать с рассмотрения того, что в настоящее время определяет акционерную стоимость бизнеса (например,g., каковы основные продукты предприятия, что дает предприятию конкурентное преимущество, каковы уникальные операции, которые позволяют предприятию предоставлять товары и услуги и т. д.). Эти ключевые факторы ценности можно рассматривать как нынешние «жемчужины короны» организации. Помимо размышлений о жемчужинах организации, ERM также начинается с понимания планов организации по увеличению стоимости за счет новых стратегических инициатив, изложенных в стратегическом плане (например, запуск нового продукта, стремление к приобретению конкурента или расширение онлайн-предложений и т. д.). Наш аналитический документ «Интеграция ERM со стратегией» может оказаться полезным, поскольку он содержит три тематических исследования, демонстрирующих, как организации успешно интегрировали свои усилия по ERM со своими инициативами по созданию ценности.
Благодаря такому глубокому пониманию текущих и будущих факторов создания ценности для предприятия, руководство теперь может пройти через процесс ERM, сосредоточив внимание руководства на выявлении рисков, которые могут повлиять на дальнейший успех каждого из ключевых факторов создания ценности. .Как могут возникнуть риски, влияющие на «жемчужину короны», или как могут возникнуть риски, препятствующие успешному запуску новой стратегической инициативы? Использование этой стратегической линзы в качестве основы для выявления рисков помогает руководству сосредоточиться на рисках, которые являются наиболее важными для краткосрочной и долгосрочной жизнеспособности предприятия. Это показано на Рисунке 5.
Рисунок 5 — Применение стратегической линзы для выявления рисков
В центре внимания все виды рисков
Иногда акцент на выявлении рисков для движущих сил основных ценностей и новых стратегических инициатив заставляет некоторых ошибочно заключать, что ERM сосредоточено только на «стратегических рисках» и не связано с операционными рисками, рисками соответствия или отчетности.Это не так. Скорее, при развертывании стратегической линзы в качестве точки фокуса для выявления рисков цель состоит в том, чтобы подумать о любом виде риска — стратегическом, операционном, комплаенс, отчетности или любом другом виде риска, — которые могут повлиять на стратегический успех предприятия. . В результате, когда ERM сосредоточено на выявлении, оценке, управлении и мониторинге рисков для жизнеспособности предприятия, процесс ERM позиционируется как важный стратегический инструмент, в котором интегрированы управление рисками и стратегическое лидерство.Это также помогает устранить «засорения» руководства из процесса управления рисками, побуждая руководство индивидуально и коллективно думать о любых и всех типах рисков, которые могут повлиять на стратегический успех организации.
Вывод процесса ERM
Целью процесса ERM является формирование понимания основных рисков, которые, по общему мнению руководства, являются наиболее серьезными в настоящее время рисками для стратегического успеха предприятия. Большинство организаций отдают приоритет тому, что руководство считает 10 основными (или около того) рисками для предприятия (см. Наш аналитический документ «Обзор практик оценки рисков», в котором освещается ряд различных подходов, применяемых организациями для определения приоритетности наиболее важных рисков на горизонте). .Как правило, при представлении 10 основных рисков совету директоров основное внимание уделяется ключевым темам рисков, а более подробные детали отслеживаются руководством. Например, ключевой темой риска для бизнеса может быть привлечение и удержание ключевых сотрудников. Этот вопрос риска может обсуждаться советом директоров на высоком уровне, в то время как руководство сосредотачивается на уникальных задачах по привлечению и удержанию талантов в конкретных областях организации (например, ИТ, продажи, операции и т. Д.).
Зная о наиболее значительных рисках на горизонте для предприятия, руководство затем пытается оценить, является ли текущий способ управления этими рисками достаточным и эффективным.В некоторых случаях руководство может решить, что они и совет директоров готовы принять риск, в то время как в отношении других рисков они стремятся отреагировать таким образом, чтобы снизить или избежать потенциального риска. Обдумывая меры реагирования на риски, важно учитывать как меры реагирования для предотвращения возникновения риска, так и меры реагирования для сведения к минимуму воздействия в случае возникновения события риска. Эффективный инструмент, помогающий сформировать представление о реакции на риск, известен как «Анализ галстука-бабочки», который проиллюстрирован на Рисунке 6.Левая часть «узла» (который представляет собой рисковое событие) помогает руководству подумать о действиях, которые руководство может предпринять для снижения вероятности возникновения риска. Правая сторона «узла» помогает руководству подумать о действиях, которые можно было бы предпринять для снижения воздействия рискового события, если его нельзя предотвратить (ознакомьтесь с нашей статьей «Анализ галстука-бабочки: многоцелевой инструмент ERM»).
Рисунок 6 — Инструмент «галстук-бабочка» для разработки мер реагирования на риски
Мониторинг основных рисков и информирование о них с помощью ключевых индикаторов риска (KRI)
Хотя основным результатом процесса ERM является приоритезация наиболее важных рисков организации и то, как организация управляет этими рисками, процесс ERM также подчеркивает важность пристального наблюдения за этими рисками посредством использования ключевых индикаторов риска ( КРИС).Организации все чаще совершенствуют свои системы управленческих панелей за счет включения ключевых индикаторов риска (KRI), связанных с каждым из основных рисков организации, выявленных в процессе ERM. Эти показатели KRI помогают руководству и совету директоров отслеживать тенденции рисков с течением времени. Ознакомьтесь с нашим аналитическим документом «Разработка ключевых индикаторов риска для улучшения управления рисками предприятия», выпущенным в партнерстве с COSO и посвященным методам разработки эффективных KRI.
Руководство ERM
Учитывая, что цель ERM состоит в том, чтобы создать видение рисков предприятия сверху вниз, ответственность за настройку и лидерство в ERM лежит на исполнительном руководстве и совете директоров.Это те, кто имеет корпоративный взгляд на организацию, и они рассматриваются как несущие полную ответственность за понимание, управление и мониторинг наиболее значительных рисков, влияющих на предприятие.
Высшее руководство несет ответственность за разработку и внедрение процесса управления рисками предприятия в организации. Именно они определяют, какой процесс должен быть на месте и как он должен функционировать, и им поручено поддерживать этот процесс в активном и активном состоянии.Роль совета директоров заключается в обеспечении надзора за рисками посредством (1) понимания и утверждения процесса ERM руководством и (2) надзора за рисками, выявленными процессом ERM, для обеспечения того, чтобы действия руководства соответствовали аппетиту заинтересованных сторон к принятию рисков. (Ознакомьтесь с нашим аналитическим документом «Усиление управления рисками предприятия для достижения стратегических преимуществ», выпущенным в партнерстве с COSO, в котором основное внимание уделяется областям, в которых совет директоров и руководство могут работать вместе для улучшения обязанностей совета директоров по надзору за рисками и, в конечном итоге, повышения стратегической ценности компании) .
Заключение
Учитывая скорость изменений в глобальной деловой среде, объем и сложность рисков, влияющих на предприятие, быстро растут. В то же время растут ожидания относительно более эффективного надзора за рисками со стороны совета директоров и высшего руководства. Вместе они предполагают, что организациям, возможно, потребуется серьезно взглянуть на то, способен ли используемый подход к управлению рисками упреждающе или реактивно управлять рисками, влияющими на их общий стратегический успех.Управление рисками предприятия (ERM) становится широко распространенной бизнес-парадигмой для более эффективного надзора за рисками.
Хотите узнать больше об ERM?
По мере того, как бизнес-лидеры осознают цели ERM и стремятся улучшить свои процессы управления рисками для достижения этих целей, они часто ищут дополнительную информацию о тактических подходах, чтобы сделать это эффективно и с минимальными затратами. Инициатива ERM в Poole College of Management при Университете штата Северная Каролина может быть полезным ресурсом благодаря статьям, аналитическим документам и другим ресурсам, заархивированным на его веб-сайте или через предложения ERM Roundtable и Executive Education.Каждый год мы опрашиваем организации о текущем состоянии их практик, связанных с ERM. Ознакомьтесь с нашим последним отчетом «Отчет о состоянии рисков: обзор корпоративных практик управления рисками».
Что такое управление рисками предприятия (ERM)?
КУправление рисками предприятия — это процесс планирования, организации, направления и контроля деятельности организации с целью минимизировать пагубное влияние риска на ее капитал и прибыль.Управление рисками предприятия включает финансовые риски, стратегические риски, операционные риски и риски, связанные со случайными убытками.
Внешние факторы подогревают повышенный интерес к ERM. Отраслевые и государственные регулирующие органы, а также инвесторы более внимательно изучают политику и процедуры управления рисками предприятий. Во все большем числе отраслей от советов директоров требуется проверять и отчитываться об адекватности процессов управления рисками в своих организациях.
Почему так важно управление рисками предприятия?Программа ERM может помочь повысить осведомленность о бизнес-рисках во всей организации, вселить уверенность в стратегических целях, улучшить соблюдение нормативных требований и внутренних нормативных требований и повысить операционную эффективность за счет более согласованного применения процессов и средств контроля.
Предприятия могут извлечь выгоду, сместив свою корпоративную культуру с акцента на соблюдение требований ИТ-соответствия к нацеливанию на снижение общего риска, которое в значительной степени зависит от прозрачности общей безопасности организации.
Организации, разрабатывающие стратегическую программу ERM, должны уже иметь некоторые устоявшиеся практики, например следующие:
- модель управления, которая включает высшее руководство и организационные элементы, такие как безопасность, оценка и управление рисками, соблюдение нормативных требований, ИТ-операции, юридические и другие важные области бизнеса;
- стратегия, которая включает внутренние политики и стандарты для всех проблем безопасности и рисков, а также основные операционные области, такие как конфигурация системы; и
- процедура, которая включает в себя управление внутренними и внешними рисками, угрозами и уязвимостями для мониторинга злоумышленников и факторов подверженности риску, которые потенциально могут повлиять на риски для предприятия и его активов.
ERM — это непрерывная работа, которая должна расти и развиваться, поэтому будьте готовы регулярно пересматривать, пересматривать и обновлять все элементы программы.
Какие компоненты управления рисками предприятия?- Бизнес и ИТ-цели. Запланированные стратегические инициативы организации должны быть включены во все процессы анализа рисков и принятия решений. Например, переход на облачные сервисы окончательно меняет многие парадигмы контроля и управления рисками.
- Аппетит к риску. Для поддержания непрерывности бизнеса предприятию необходимо оценить свою терпимость к достижению стратегических целей.
- Культура и управление. Некоторые типы организаций обычно не склонны к риску, в то время как другие продвигают культуру риска для реализации стратегических инициатив. Кроме того, модели внутреннего управления и структуры коллективных команд будут сильно различаться на разных предприятиях, что влияет на способы принятия решений и реализации средств контроля.
- Соответствие и контроль. Внутренние стандарты и внешние регулирующие и нормативные требования должны учитываться при принятии решений о рисках и контроле.
- Измерение и отчетность. Все программы ERM должны предоставлять своевременные и последовательные результаты для всех заинтересованных сторон, от руководителей компаний до специалистов по операциям. Важное значение имеют показатели, используемые для измерения прогресса, а также механизмы и стили отчетности.
Каковы преимущества управления рисками предприятия?
- За счет создания культуры, в большей степени ориентированной на риски, интеграция оценки рисков в бизнес и ИТ-практики является хорошим способом улучшить управление рисками во всех сферах.
- Предприятия могут внедрить более стандартизированную отчетность о рисках, которая помогает с долгосрочными метриками и измерениями.
- Организации могут сосредоточить внимание и расширить свое видение рисков в различных категориях.
- Повышенное внимание к рискам, связанным с бизнес-целями, может привести к более эффективному использованию ресурсов — например, к применению ограниченных лицензий безопасности конечных точек для наиболее уязвимых и критических систем.
- Организации с жестким регулированием могут улучшить координацию нормативных требований и вопросов соответствия для разнообразного набора бизнес-целей.
- Капитальные и операционные расходы часто изначально увеличиваются, поскольку для программ ERM может потребоваться специализированное и дорогое программное обеспечение и услуги.
- Инициативы ERM усиливают акцент на корпоративном управлении, требуя от бизнес-подразделений значительных затрат времени и средств.
- Согласование консенсуса в отношении серьезности риска и показателей для всех подразделений предприятия может быть трудным и спорным.
- Определите объем программы. Определите и расставьте приоритеты критических бизнес-процессов и связанных с ними рисков.
- Разработайте план. Используйте тепловые карты рисков, чтобы определить, какие угрозы могут поставить под угрозу бизнес-цели и важнейшие стратегии, поделиться этой информацией и установить средства контроля для компенсации этих рисков.
- Разработайте план действий . Создайте план обработки рисков, чтобы выявить неприемлемые риски и устранить пробелы в рисках.
- Цифровое преобразование. Используйте ИИ и другие передовые технологии для автоматизации неэффективных и неэффективных ручных процессов.
- Наблюдать и измерять. Установите профили риска и ключевые индикаторы риска для выявления недостатков контроля и оценки того, как программа ERM продвигается, насколько она отклоняется от корпоративной политики и количество инцидентов риска.
Корпоративные системы управления рисками бывают разных видов. Для некоторых компаний соблюдение рамок ERM может быть обусловлено нормативными и нормативными требованиями. Для других предприятий эти структуры могут быть полезны при формировании и определении ERM на ранних этапах разработки и внедрения.Некоторые из наиболее распространенных структур включают ISO 31000 для управления рисками, Структура управления рисками NIST и COSO (Комитет спонсорских организаций Комиссии Тредуэя).
Последнее обновление: октябрь 2021 г.
Читать далее об управлении рисками предприятия (ERM) Узнайте больше об автоматизации бизнеса, робототехнике и управлении бизнес-процессамиУправление рисками предприятия (ERM)
Что это такое?
Процесс
Управление рисками предприятия (ERM) — это процесс выявления и систематического реагирования на потенциальные события, которые представляют риски для достижения стратегических целей или возможностей для получения конкурентного преимущества.
Управление рисками является важным элементом стратегического управления любой организации и должно быть встроено в текущую деятельность бизнеса. Две широко упоминаемые структуры включают Комитет спонсорских организаций Комиссии Тредуэя COSO «ERM — Integrated Framework»; и руководство, разработанное Airmic и Институтом управления рисками IRM — «Структурированный подход к ERM и требованиям ISO 31000».
Фундаментальные элементы ERM — это оценка значительных рисков и реализация соответствующих мер реагирования на риски.Ответные меры на риск включают: принятие риска или терпимость к нему; избежание или прекращение риска; передача или разделение рисков через страхование, совместное предприятие или иное соглашение; а также снижение или уменьшение риска с помощью процедур внутреннего контроля или других мероприятий по предотвращению рисков.
Другие важные концепции ERM включают философию риска или стратегию риска, культуру риска и аппетит к риску. Это выражение отношения к риску в организации и степени риска, на который организация готова пойти.Это важные элементы управленческой ответственности.
Управленческие обязанности включают архитектуру или инфраструктуру рисков, документирование процедур или протоколов управления рисками, обучение, мониторинг и отчетность по рискам и действиям по управлению рисками.
Источник: Как сообщать о рисках с помощью тепловых карт, CGMA
Какие преимущества дает ERM?
- Повышение осведомленности о рисках, с которыми сталкивается организация, и способность эффективно реагировать
- Повышение уверенности в достижении стратегических целей
- Повышенное соответствие законодательным и нормативным требованиям и требованиям к отчетности
- Повышение эффективности и результативности операций
Вопросы, которые следует учитывать при внедрении ERM
- Каковы основные компоненты или движущие силы нашей бизнес-стратегии?
- Какие внутренние факторы или события могут помешать или расстроить каждый из этих компонентов?
- Какие внешние события могут помешать или расстроить каждый из компонентов?
- Имеются ли у нас правильные системы и процессы для устранения этих внутренних и внешних рисков?
Действия, которые необходимо предпринять / Dos | Действия, которых следует избегать / чего нельзя делать |
|
|
На практике:Управление рисками предприятия | ||
Gemini Motor Sports Загрузить полный пример Гипотетическая иллюстрация из тематического исследования CGMA: Как оценить зрелость управления рисками предприятия . Gemini Motor Sports (GMS), публичная компания со штаб-квартирой в Бразилии, производит дорожные и внедорожные транспортные средства для отдыха для продажи через дилерскую сеть в Бразилии и Канаде. Главный финансовый директор GMS Дэвид Круз отвечал за разработку исходной системы ERM для компании. В первый год внедрения команда ERM встретилась с высшим руководством, определила и расставила приоритеты для ряда критических рисков, которые подорвали GMS.Их первоначальная презентация комитету по аудиту подверглась критике за то, что была перефразированием прошлых проблем и бесполезна для совета директоров при обсуждении стратегического направления GMS. На втором году программы, после прохождения обучения ERM для команды, Круз сосредоточил больше внимания на потенциальных событиях, которые, по мнению менеджеров, могут повлиять на бизнес. Он попросил их оценить вероятность и потенциальное влияние выявленных рисков. Полученный отчет был хорошо принят.Однако председатель комитета по аудиту предложил, чтобы следующим шагом была оценка процесса управления рисками и степени его интеграции с процессом стратегического управления организацией, что привело к использованию инструмента зрелости управления рисками CGMA. Извлеченные уроки
|
Руководство по управлению рисками предприятия
Узнать больше о программе сертификации COSO ERM
В ответ на потребность в основанных на принципах рекомендациях, которые помогут организациям разрабатывать и внедрять эффективные общеорганизационные подходы к управлению рисками, COSO выпустила Управление рисками предприятия — Интегрированная платформа в 2004 году.Эта структура определяет основные компоненты управления рисками предприятия, обсуждает ключевые принципы и концепции ERM, предлагает общий язык ERM и дает четкие указания и рекомендации по управлению рисками предприятия. В руководстве представлен общеорганизационный подход к управлению рисками, а также такие концепции, как аппетит к риску, толерантность к риску, представление портфеля. Эта структура сейчас используется организациями по всему миру для разработки и внедрения эффективных процессов ERM. Доступно для покупки в магазине AICPA.Узнать больше о Управление рисками предприятия — интегрированная структура.
Управление рисками предприятия при покупке — интегрированная платформа
Допустимое использование материалов COSO
Форма запроса на разрешение авторского права
Руководство по управлению рисками предприятия для облачных вычислений
Удовлетворяя потребности в удаленной и гибкой работе в результате пандемии, Комитет спонсирующих организаций Комиссии Тредуэя (COSO) в сотрудничестве с Crowe LLP, выпускает « Enterprise Risk Management for Cloud Computing .Это новое руководство представляет собой дорожную карту для создания управления облачными вычислениями с использованием принципов COSO Enterprise Risk Management (ERM) — интеграция со стратегией и производительностью (2017). Проект был заказан COSO, его соавторами выступили Майк Гроб, директор, и Виктория Ченг, управляющий директор консалтинговой компании Crowe LLP.
Руководство
Пресс-релиз
Руководство по управлению рисками соответствия — Применение концепции COSO ERM (2020)
Руководство
Пресс-релиз
Руководство по управлению киберрисками в эпоху цифровых технологий (2019)
Руководство
Пресс-релиз
Руководство по применению ERM к экологическим, социальным и управленческим рискам (2018)
Краткое содержание
Руководство
Обсуждения ERM
Аппетит к риску — решающее значение для успеха: использование аппетита к риску для процветания в меняющемся мире (2020)
По сути, аппетит к риску имеет решающее значение для успеха организации.Формулировка аппетита к риску для вашей организации предоставит членам совета директоров и высшему руководству важную информацию. Мы надеемся улучшить это понимание и способствовать развитию склонности к риску как неотъемлемой части процесса принятия решений. Этот аналитический документ призван помочь директорам и руководителям ответить на следующий вопрос: как лучшее понимание и информирование о склонности к риску поможет нашей организации добиться успеха?
Пресс-релиз
Создание и защита стоимости: понимание и внедрение управления рисками предприятия
В этом документе предлагаются краткие, осязаемые шаги по реализации эффективной программы ERM, основанные на успешных методах, используемых организациями при принятии постепенного, поэтапного подхода к внедрению ERM .В соавторстве с соавтором Ричардом Дж. Андерсоном из Университета ДеПола, клиническим профессором стратегического управления рисками, и доктором Марком Л. Фриго, соучредителем и почетным директором лаборатории стратегии, исполнения и оценки и лаборатории стратегического управления рисками. Келлштадтская Высшая школа бизнеса / Бизнес-колледж Дрихауса — Школа бухгалтерского учета и MIS.
Пресс-релиз
Демистификация рисков для устойчивого развития: интеграция тройной нижней линии в программу управления рисками предприятия * (2013)
В этом аналитическом документе изложены идеи руководителей о подходах и методах оценки рисков, которые оказались наиболее полезными и устойчивыми для принятия решений.Он представляет собой еще одну из серии статей, опубликованных COSO, направленных на то, чтобы помочь организациям продвинуться вверх по кривой зрелости в их продолжающейся разработке надежной программы ERM.
News Re l easy
Этот аналитический документ публикуется в ответ на растущее число организаций, использующих облачные вычисления в качестве жизнеспособной альтернативы для удовлетворения своих технологических потребностей. В аналитическом документе содержится руководство по следованию принципам COSO Enterprise Risk Management — Integrated Framework для оценки и снижения рисков, связанных с облачными вычислениями.
News Relauce
Документ с подробным описанием пятиэтапного процесса вынесения суждения, который члены правления и другие лица могут использовать для преодоления распространенных ошибок и смягчения последствий предвзятости суждения. Процесс вынесения решения основан на рекомендациях КПМГ. Система профессионального суждения , которая позволяет людям определять, где и когда качеству суждений угрожают предсказуемые, систематические ловушки суждений и предубеждения.
News Relauce
Организации ежедневно сталкиваются с рисками, преследуя свои цели.Риск-аппетит — количество рисков, которые организации готовы принять для достижения своих целей — является неотъемлемой частью эффективной системы ERM. Этот аналитический документ призван помочь организациям развить, лучше сформулировать и реализовать «аппетит к риску». В нем приводятся примеры заявлений о аппетите к риску и подчеркивается идея о том, что аппетит к риску должен быть четко определен, доведен до сведения руководства, принят советом директоров и постоянно отслеживается и обновляется.
Пресс-релиз
Этот документ призван помочь организациям начать путь к совершенствованию управления рисками.В этом аналитическом документе описывается, как организация может начать переход от неформального управления рисками к ERM. Более того, в нем обсуждается возрастающая важность ERM и необходимость сосредоточения на ней ERM, а также необходимость понимания и использования ERM для всех типов организаций. В документе также исследуются предполагаемые препятствия для запуска ERM и преодоления этих препятствий.
Пресс-релиз
Этот документ предназначен для менеджеров. В нем приведены практические примеры, которые помогут руководству разработать эффективные ключевые индикаторы риска для повышения осведомленности совета директоров и руководства о рисках предприятия, чтобы повысить эффективность процесса ERM и улучшить выполнение стратегии организации.
Пресс-релиз
Этот отчет основан на опросе, в ходе которого более 200 корпоративных директоров получили более глубокую информацию о текущем состоянии и желаемом будущем состоянии процесса надзора за рисками, применяемого советами директоров.
Пресс-релиз
Этот отчет основан на опросе, проведенном с целью получения информации от корпоративного руководства о текущем состоянии их процессов надзора за рисками и отзывов о COSO за 2004 год. Управление рисками предприятия — интегрированная платформа .
Пресс-релиз
Этот документ является полезным ресурсом для формулирования стратегической ценности эффективного ERM. Публикация далее развивает обязанности совета директоров, представленные в первом аналитическом документе по ERM. В этом документе освещаются ключевые элементы ERM для рассмотрения советом директоров и высшим руководством по мере того, как они пересматривают свои существующие подходы к надзору за рисками. В документе также приводится список из четырех конкретных областей, в которых высшее руководство может работать со своим советом директоров для расширения возможностей совета директоров по надзору за рисками.
News Relauce
В документе подчеркивается роль директоров в отношении ERM. В нем изложены четыре основные обязанности советов по надзору за процессами управления рисками и наиболее подверженными рискам, возникающими в результате этих процессов.
Пресс-релиз
Управление рисками предприятия и культура рисков | Риск и устойчивость
Мы помогаем клиентам разрабатывать и внедрять интегрированные решения по управлению рисками и привносить перспективу вознаграждения за риск в процесс принятия стратегических решений и повседневных операций.
Многие действия по управлению рисками на уровне предприятия подвергаются разного рода давлению. Некоторые из них являются внешними, например, изменения в соответствии или нормативные требования. Иногда неудачные события в собственной компании или в отрасли побуждают к внутреннему самоанализу относительно адекватности существующих подходов к управлению рисками. Однако во все большем количестве случаев генеральные директора и бизнес-лидеры занимают более активную позицию, поскольку их цель — дальнейшее развитие возможностей управления рисками (проактивно на основе их стратегических и экономических приоритетов и растущих уровней стремлений) в настоящее конкурентное преимущество — в конечном итоге улучшение бизнес-решений и повышение стоимости компании с учетом рисков.
Мы работали с клиентами из самых разных отраслей, включая финансы, энергетику и производство основных материалов, автомобилестроение, фармацевтику, инфраструктуру, логистику и путешествия. Мы также оказали помощь государственным организациям, поскольку многие из них все больше стремятся улучшить свои возможности управления рисками предприятия (ERM).
Наша недавняя работа включает поддержку клиентов в целевых инициативах по обновлению возможностей ERM. Экономический кризис побудил наших клиентов работать над программами стресс-тестирования и быстрого восстановления.Стихийные бедствия или стихийные бедствия привели к созданию эффективных антикризисных проектов. Широкомасштабные регулирующие и надзорные меры стимулировали работу по формулированию аппетита к стратегическому риску и укреплению системы внутреннего контроля.
Мы также поддерживали наших клиентов в крупных и обширных многолетних программах трансформации ERM, чтобы создать возможности ERM, необходимые для процветания организации в новой экономической, конкурентной и нормативной среде. Мы фокусируемся на укреплении структурных элементов ERM, включая связь между риском и стратегией, например, при выявлении и управлении рисками слияний и поглощений или капиталовложений; влияние соотношения риск-доходность на управление портфелем, а иногда и на «снижение рисков» портфеля; и прочная связь между рисками и финансовым менеджментом, например, в управлении балансом.Многие советы директоров и генеральные директора просили нас обсудить управление рисками применительно к их компаниям, включая роли и участие совета директоров и генерального директора в управлении рисками. Кроме того, многие из наших проектов теперь сосредоточены на обеспечении внедрения ERM внутри и во всей организации, в том числе в рамках корпоративной культуры.
Наш систематический подход к ERM фокусируется на пяти измерениях, каждое из которых подтверждено отраслевыми диагностическими средствами, контрольными показателями и рекомендациями по передовой практике:
Прозрачность и понимание риска и доходности
Мы помогаем нашим клиентам определять, количественно определять и расставлять приоритеты для их наиболее важных рисков, а также связанных с ними доходов.Мы делаем это, используя комбинацию передовых методов количественной оценки (таких как аналитическое моделирование и стресс-тестирование, в том числе с использованием нетрадиционных источников данных) и систематической интеграции качественных факторов, включая суждения бизнес-менеджмента. Чтобы дополнить статистически подтвержденные подходы, мы применяем дальновидное мышление, особенно в области измерения рисков и управленческой отчетности. В тесном сотрудничестве с нашим офисом бизнес-технологий мы консультируем наших клиентов по вопросам соответствующих данных и ИТ-решений.В результате наши клиенты получают более четкое представление о своих наиболее важных рисках и связанных с ними доходах, а также о структуре своего портфеля рисков и о том, как они могут использовать аналитические данные для улучшения принятия стратегических, финансовых и операционных решений ( например, по снижению риска, корректировке портфеля, заключению контрактов или ценообразованию на основе рисков).
Владение рисками и стратегия
Компании должны сознательно выбирать, какие типы и уровни риска принять, а чего следует избегать и смягчать («владение риском»).Мы помогаем клиентам оценить свои уникальные стратегические, финансовые и операционные обстоятельства («способность нести риск»), чтобы убедиться, что их выбор рисков соответствует их стратегии и их финансовым и операционным возможностям принятия рисков («стратегия риска и склонность к риску» ”), Чтобы они могли оптимизировать соотношение риска и доходности.
Решения и процессы с учетом рисков
При принятии важных стратегических, финансовых и операционных решений лица, принимающие решения, должны учитывать риски, связанные с информацией и связанные с ними компромиссы.Мы поддерживаем наших клиентов в интеграции соображений, связанных с риском и доходностью, в важные решения при слияниях и поглощениях; рутинные процессы, такие как планирование и размещение капитала; и ежедневные операции на переднем крае, такие как структурирование контрактов и ценообразование. Мы уделяем особое внимание обеспечению надежных процессов отчетности, мониторинга и контроля рисков.
Управление рисками и организация
Каждый сотрудник организации несет определенную ответственность за управление рисками в масштабах всей организации, а не только главный специалист по рискам.Акционеры, рейтинговые агентства, регулирующие органы и политики требуют, чтобы компании привлекали к работе свое высшее руководство и даже советы директоров. Однако правильный структурный и организационный выбор, описание ролей и обязанностей, а также соответствующие определения организационных единиц и линий отчетности имеют решающее значение для обеспечения надежного и эффективного управления рисками предприятия. Мы помогаем клиентам определить общее управление, а также организацию соответствующих функций управления рисками, финансами и другими функциями контроля, а также определить, как они должны взаимодействовать друг с другом и с другими частями организации.Кроме того, мы предоставляем подробные эталоны подходящего размера и стоимости для различных подразделений управления рисками и контроля.
Культура риска
Образ мыслей и поведение отдельных лиц и групп внутри организации, а не только организации, занимающейся рисками, играют решающую роль в реализации стратегии управления рисками предприятия. Мы разработали собственный подход к культуре риска, который впервые в истории позволяет создать конкретное и подробное описание основных элементов культуры риска компании, аналитический подход к измерению и профилированию этой культуры, включая отраслевой бенчмаркинг и определение конкретных рычагов для активного влияния и развития культуры риска.
Рекомендуемые возможности
Чтобы оценить, сравнить и улучшить возможности ERM клиента, мы используем комбинацию собственных данных и уникальных инструментов, включая следующие:
Диагностика управления рисками предприятия (ERM) . Эта диагностика представляет собой целостную оценку эффективности управления рисками в масштабах всего предприятия и помогает составить представление о предполагаемых сильных и слабых сторонах текущих возможностей банка по управлению рисками.Он состоит из пяти частей, охватывающих все аспекты управления рисками, включая прозрачность рисков и понимание; естественная собственность, аппетит к риску и стратегия; решения и процессы, связанные с рисками; организация и управление рисками; и культура риска. Диагностика включает в себя самооценку, а также сравнительный анализ и предоставляет подробные сведения о лучших мировых практиках в качестве основы для разработки инициатив.
Управленческие вопросы адресованы:
- Каков внутренний взгляд банка на общие возможности управления рисками предприятия?
- Как мои текущие возможности по сравнению с коллегами и лучшими отраслевыми практиками?
- Что это означает для моего уровня стремления?
Инструмент диагностики и сравнительного анализа организации рисков .Диагностика организации рисков McKinsey сравнивает количество или распределение ресурсов и эксплуатационные расходы с аналогичными предприятиями, используя подробную таксономию рисков на уровне деятельности. Этот инструмент также помогает анализировать организационную структуру с точки зрения моделей архетипов — например, диапазона контроля. Результаты диагностики позволяют выявить потенциальные рычаги повышения эффективности и рентабельности. Инструмент также можно применить к функции соответствия.
Управленческие вопросы адресованы:
- Сколько ресурсов выполняет определенные действия (по типам рисков и направлениям бизнеса) в моей организации и в какой организационной структуре (центральные функции по сравнению с бизнес-функциями)?
- Насколько эффективна моя организация по управлению рисками по сравнению с моими коллегами?
- Какие организационные конструкции мы можем принять, чтобы стать более действенными и действенными?
- Каковы основные возможности для моей риск-организации?
Диагностика культуры риска .Исторические данные свидетельствуют о том, что многие инциденты риска связаны с культурной первопричиной. Диагностика культуры риска McKinsey помогает измерить культуру риска и выявить эти причины, которые затем могут быть устранены с помощью реальных инициатив. Диагностика использует структуру отношения и поведения, основанную на строго проверенной методологии. Активное формирование культуры риска снизит риски в будущем и улучшит общую производительность.
Управленческие вопросы адресованы:
- Как можно измерить культуру риска?
- Понимаю ли я, где в моей организации находится культура риска?
- Какие вмешательства необходимы для повышения культуры риска?
- Как можно активно формировать культуру риска?
- Проверка работоспособности на соответствие .Помогает клиентам проверять соответствие требованиям в их конкретной отрасли. Также доступен ряд отраслевых инструментов для определенных областей соответствия (таких как Управление деловыми партнерами или Подарки и знаки гостеприимства).
Денежный поток под риском (CFAR) Модели . Технологии управления рисками и операции являются приоритетной темой для банков и регулирующих органов в целях достижения рациональной практики управления рисками. Этот диагностический инструмент помогает оценить текущие возможности в этой области (такие как доступность и согласованность данных, а также функциональные возможности системы) в сравнении с текущими и будущими нормативными требованиями, а также с целевыми надежными отраслевыми практиками.Результаты обеспечивают основу для информированного обсуждения необходимых разработок и инвестиций.
Управленческие вопросы адресованы:
- Насколько хорошо разработаны ИТ-процессы управления рисками с точки зрения поддержки управления рисками?
- Насколько сложным является покрытие ИТ-приложений для работы с критическими рисками?
- Насколько развиты такие возможности данных, как качество, согласованность, интеграция и особенно агрегированное представление рисков?
- Насколько развиты операционные системы, базы данных, серверы и средства резервного копирования и насколько хорошо они работают?
- Каковы механизмы управления рисками, технологиями и операциями, а также достижения ИТ-безопасности или соответствия требованиям?
RIMS — О SERM
Стратегическое управление рисками («SRM») — это бизнес-дисциплина, которая стимулирует обсуждение и действия
в отношении неопределенностей и неиспользованных возможностей, которые влияют на стратегию1 и реализацию стратегии
организации.
SRM представляет собой важный этап эволюции в управлении рисками предприятия, основанный на следующих руководящих принципах
:
- Ориентированный на ценность: Определяет основу и подход для создания, сохранения и защиты ценности предприятия
, одновременно служа источником конкурентного преимущества - Отражающий: устраняет непредвиденные последствия и потенциальные риски, возникающие в результате и создаваемые операционными планами, разработанными для реализации стратегии
- Структурированный: оценивает компромиссы между рисками и вознаграждением в рамках аппетита организации к риску и
ее системы контроля рисков - Информированный: повышает уровень анализа рисков и принятия решений с учетом рисков в отношении стратегических решений
на уровне совета директоров и исполнительного руководства - Динамический: распознает как положительное, так и отрицательное влияние на стоимость предприятия (например,грамм. о прибыли
, денежном потоке, капитале, репутации и дифференцирующем положении), возникающих в результате возникающих и
динамических изменений в окружающей среде - Процессно-ориентированный: представляет собой применяемый метод и процесс для эффективного принятия стратегических решений, оперативной реализации решений и реагирования на отрасль, экономические или
технологические изменения - На основе условий: оценивает стратегии в контексте значительных внутренних и внешних условий
, таких как организационные возможности, окружающая среда, силы, события, тенденции и
заинтересованных сторон - Последствия: устанавливает приоритеты и управляет стратегическими рисками в зависимости от актуальности , важность и
неопределенность в принятии риска, а также в снижении стратегических рисков2 - Междисциплинарный: охватывает пересечение стратегического планирования, управления рисками и выполнения стратегии
- На основе сценария: основное внимание уделяется расчету инвестиций, потребностей в ресурсах и распределению капитала 900 11 посредством сценариев и стресс-тестирования
Эти руководящие принципы отражены в Стратегической структуре рисков RIMS.
Управление рисками предприятия: как сделать это приоритетом
Управление рисками предприятия (ERM) — это способ, с помощью которого предприятия выявляют широкий портфель значительных рисков и управляют им комплексным образом. Это быстрорастущая дисциплина. Даже лучшие организации не избегают риска: более половины опрошенных нами руководителей заявили, что в течение последних двух лет у них возникла серьезная опасность, которую они ранее не выявляли (за исключением пандемии COVID-19).Когда риск становится реальностью, он может нанести ущерб, выходящий далеко за рамки чистой прибыли.
На карту поставлена также способность бизнеса оставаться конкурентоспособным. ERM — это не только предотвращение риска; это также возможность воспользоваться возможностью. Некоторые риски стоит принять, потому что они могут привести к появлению новых продуктов или услуг, которые отделяют бизнес от конкурентов.
Выявление, оценка угроз и надлежащее реагирование на них будут иметь важное значение для обеспечения непрерывности и устойчивости бизнеса по мере того, как мировая экономика выходит из хаоса 2020 года.Чтобы понять текущие методы и инструменты ERM и их развитие, APQC недавно провела глобальное исследование с доктором Полом Уокером, заведующим кафедрой ERM в Университете Св. Иоанна в Широ / Цюрих.
Исследование включало опрос 229 респондентов в организациях любого размера из различных отраслей и регионов. Мы также опросили старших практиков ERM в восьми организациях в разных отраслях и размерах, чтобы получить представление о повседневной работе ERM на передовой.
Хотя известные и неизвестные риски всегда будут частью бизнеса, мы обнаружили, что ведущие организации разработали систематические подходы к управлению рисками на уровне предприятия.Эти усилия снижают подверженность организации рискам и повышают ценность за счет таких преимуществ, как более эффективное принятие решений, целенаправленные бизнес-стратегии и более быстрое реагирование на сбои.
Фонд
Взгляд предприятия на риски имеет решающее значение для эффективного ERM. Без него управление рисками не будет иметь всеобъемлющего видения и, скорее всего, будет разрозненным. Это может привести к излишним или разрозненным усилиям в организации.
Как сказал нам один вице-президент по организационным рискам, «корпоративное представление о рисках помогает гарантировать, что направления бизнеса определяют риски одинаковым образом и используют преимущества передовой практики программным способом.”
Включение этого корпоративного представления через надежное управление, стандартизованный анализ рисков и бизнес-культуру с учетом рисков позволяет организациям разработать более целостный подход к управлению рисками, поместив «предприятие» в ERM.
Многие организации все еще имеют возможность разработать свой подход к ERM и достичь этого интегрированного представления о рисках. В то время как 37% участников опроса заявили, что они определили процессы ERM на месте, только около 25% заявили, что их процесс ERM был полностью оптимизирован.Многие организации тоже не применяют ERM очень давно. Около четверти заявили, что их программе ERM менее трех лет, и большинство из них практикуют ERM менее пяти лет.
Команды и поддержка руководителей
Почти все участники опроса (96%) заявили, что их программа ERM проводится специальной группой ERM. Хотя размер команды может варьироваться в зависимости от размера организации и отрасли, мы обнаружили, что группы, как правило, невелики: среднее количество членов команды ERM во всех компаниях составляет пять эквивалентов полной занятости.
Вместо того, чтобы управлять всеми рисками, роль основной группы ERM, как правило, заключается в содействии процессу и предоставлении консультационной поддержки и рекомендаций для бизнеса.
Например, Джон Симинерио, директор по анализу решений и капитала в Highmark Health, сказал, что, хотя «некоторые сложные риски корпоративного уровня должны управляться и контролироваться непосредственно командой ERM», во многих случаях цель группы ERM проста. «Предоставить владельцам бизнеса необходимые ноу-хау, навыки и инструменты для управления своими рисками.”
«Наличие спонсора и представителя высшего руководства может изменить скорость внедрения и внедрения ERM в организации».
— Джо Пью, директор по корпоративному управлению рисками и комплаенс, AARP
Во многих организациях партнеры по встроенным рискам несут ответственность за риски в своих конкретных сферах бизнеса и сообщают об этих рисках основной группе ERM. Затем команда ERM отчитывается перед руководителем как главный специалист по рискам.
Многие специалисты по ERM заявили, что поддержка руководства критически важна для того, чтобы эта структура программы работала эффективно.Руководители и руководство не только помогают задавать тон наверху, но также помогают обеспечить необходимые ресурсы и поддержку в масштабах всего предприятия.
Как заметил Джо Пью, директор по корпоративному управлению рисками и комплаенс в AARP, «наличие спонсора и представителя высшего руководства может изменить скорость внедрения и внедрения ERM в организации».
Исполнительная поддержка ERM также означает, что руководители, включая финансовых директоров, играют активную роль в координации процессов и деятельности по управлению рисками.Они могут выступать в роли защитников рисков или помогать выявлять защитников рисков в рамках всего бизнеса. Вот несколько примеров:
- В Министерстве здравоохранения и социальных служб США (HHS) есть совет по ERM, в который входят старшие руководители каждого из 10 основных агентств департамента и функциональных отделов предприятия. Они служат в качестве консультативного органа для ERM и помогают проводить оценку рисков в масштабах всего предприятия.
- Производитель ON Semiconductor имеет 27 встроенных защитников рисков, которые охватывают каждую функциональную область и ежеквартально предоставляют обновленную информацию о рисках.Сторонники риска выявляются и назначаются руководством в каждой области и обучаются действовать в качестве ресурсов ERM и предметных экспертов в своих областях.
- Highmark Health представляет партнеров по стратегическому риску, которые должны работать вместе с владельцами бизнеса при реализации стратегических инициатив и основных бизнес-операций.
- Налоговая служба использует рабочую группу по рискам, состоящую из представителей каждого бизнес-подразделения, для предоставления рекомендаций, связанных с корпоративными рисками, исполнительному комитету по рискам.
Эти руководящие роли эффективно обеспечивают поддержку ERM сверху вниз и координируют оценку рисков. Но более половины респондентов — а в некоторых случаях и две трети — упускают возможность использовать их для ERM.
Приоритеты
Риск-партнеры по бизнесу часто выявляют и отслеживают многие риски. Это не означает, что руководители или основная команда ERM будут отдавать приоритет всем им. Как отметила заместитель помощника секретаря HHS по эксплуатации и управлению Кристин Джонс: «Не все может быть высокоприоритетным риском.ERM означает поиск компромиссов и балансирование того, что имеет смысл для предприятия в целом ».
Вместо активного отслеживания и планирования каждого риска организации сосредотачиваются на портфеле рисков с наивысшим приоритетом.
Организации принимают широкий и всеобъемлющий взгляд на риск при выявлении рисков. Например, три основных категории рисков для основных корпоративных рисков — это стратегический, операционный и финансовый риски, хотя киберриск, репутационный риск и другие категории не сильно отстают (рис. 3).
Организации тратят около четверти своего времени на выявление и оценку рисков, уделяя особое внимание стратегическим рискам, что имеет смысл. В эту категорию входят риски, которые потенциально могут означать конец бизнеса, если они материализуются, поэтому на их выявление и планирование стоит потратить дополнительное время.
Оценка рисков
Одним из наиболее распространенных видов деятельности ERM является оценка рисков. Респонденты опроса обычно проводят оценки ежемесячно или ежеквартально.
Наиболее распространенный подход — присвоение баллов или ранжирование каждого риска на основе таких критериев, как вероятность и воздействие. Это позволяет организации сортировать риски на высокие, средние и низкие. Организации могут использовать различные методы или комбинации методов для анализа и оценки рисков, включая мозговой штурм (используется 54%) и учитывает влияние на бизнес (используется 50%).
Во многих случаях оценка риска — это совместная работа, осуществляемая посредством группового обсуждения и консенсуса.
Оценка рисков в HHS, например, начинается с ежегодного опроса персонала, который помогает выявлять риски на предприятии. После опроса команда ERM передает портфель рисков в совет ERM, который использует упрощенные обсуждения и приложение для голосования на мобильном телефоне в режиме реального времени для оценки каждого риска. Хотя голосование является анонимным, члены совета ERM имеют достаточно взаимопонимания, чтобы открыто обсуждать свои рейтинги и вместе работать над составлением всеобъемлющего портфеля основных рисков.
Новые риски
Ведущие программы ERM также работают над выявлением и оценкой возникающих рисков — тех, которые еще не зашли на горизонте.По мнению Майкла Зуроу, старшего директора по глобальному управлению рисками в ON Semiconductor, эти риски может быть труднее выявить, но он считает, что немногие возникающие риски действительно непредсказуемы.
«Я не верю словосочетанию« черный лебедь », потому что считаю слишком удобным говорить, что никто не мог предвидеть этого риска. Многие из этих явных рисков, которые мы просто игнорируем, а не черных лебедей ».
ON Semiconductor ежегодно проводит упражнения по планированию сценариев на 10–20 лет в будущее для выявления и отслеживания этих рисков.Учения касаются угроз макроуровня, таких как глобальное изменение климата, искусственный интеллект и геополитическая напряженность.
ON Semiconductor делает правильные шаги в отношении возникающих рисков: наш анализ показал, что организации, которые выявляют и оценивают возникающие риски, статистически чаще оценивают свои программы ERM как более эффективные и ценные, чем организации, которые этого не делают.
Визуализация риска
В идеале визуализация и отчетность по рискам должны быть гибкими и динамичными, с учетом множества сценариев и возможных результатов.Как сказал нам Симинерио: «Будущее не единственное, оно множественное — есть много разных результатов, которые находятся в пределах и вне нашего контроля».
Ведущие организации используют тепловые карты или оценочные карты рисков, чтобы руководители могли легко читать и понимать отчеты о рисках. Например, ON Semiconductor создает тепловые карты, которые учитывают текущий уровень риска каждого риска (на основе вероятности и воздействия риска) и устанавливает целевой уровень риска на основе склонности организации к рискам. Риски, выходящие за рамки целевого уровня риска, считаются приоритетными для смягчения.В областях, связанных с инновациями, команда ERM может решить, что организация слишком консервативна и, возможно, придется пойти на больший риск.
Непрерывное совершенствование
Организации используют широкий спектр мер для отслеживания эффективности программ ERM, включая влияние ERM на результаты бизнеса (верхний показатель, используемый половиной опрошенных) и меры затрат на программы ERM (используемые 46%). Наряду с этими количественными показателями лучшие команды ERM также получают обратную связь от широкого круга заинтересованных сторон.
AARP, например, просит свой совет директоров оценить программу ERM в рамках своей ежегодной самооценки. Результаты предоставляют руководству критически важную информацию о корпоративных рисках с точки зрения членов совета директоров. Эти усилия позволили сформировать более продуманную культуру принятия рисков и сформировали совет директоров, более разбирающийся в рисках, — заявляет AARP.
Зрелые программы ERM также активно инвестируют в обучение и постоянное совершенствование. Как сказал один вице-президент по организационным рискам: «Хорошее управление рисками предприятия требует, чтобы каждый понимал свою роль в управлении рисками и чтобы все выполняли эту роль одинаково, используя одни и те же определения.Это сложная задача для всего предприятия, потому что она требует, чтобы все работали над достижением одной цели ».
Чтобы сплотить все предприятие вокруг ERM, организации обычно проводят обучение, проводят информационные кампании и предоставляют практические инструменты или шаблоны, которые сотрудники используют в повседневном рабочем процессе. Например:
- Основная группа ERM ON Semiconductor совместно с отделом обучения и развития разрабатывает учебные курсы для сотрудников ERM.
- Highmark Health проводит выездные презентации, чтобы привлечь внимание к ERM, и активно обучает группы деловых партнеров методам ERM.В конечном итоге поддержка в принятии решений исходит от тех, кто находится на передовой.
- Общественные мероприятия Chillicothe Municipal Utilities, посвященные ERM, стали решающим фактором успеха и стимулом к участию в программе ERM.
- AARP разработала таблицу с вопросами по ERM, которая помогает новым лидерам глубже задуматься о рисках в контексте новых стратегий или инициатив.
Некоторые организации идут еще дальше, формируя сообщества практиков, которые широко распространяют рекомендации и передовой опыт ERM.Например, работая с Организацией экономического сотрудничества и развития, IRS играет ведущую роль в оказании помощи налоговым администраторам из других стран в изучении принципов ERM. Работа организации с ОЭСР также привела к разработке курса «Введение в ERM», виртуального форума по ERM во время COVID-19 и модели зрелости ERM, специально предназначенной для налоговых администраторов.
Хотя они не могут полностью избежать риска, организации, которые развивают свои усилия по ERM, лучше подготовлены к реагированию, когда риск становится реальностью.Мы обнаружили, что помимо большей готовности к неприятностям эти организации также получают выгоду от улучшенного принятия управленческих решений, избежания рисков, снижения затрат на страхование и многого другого.
Как сказала Кэти Боллинг, финансовый директор Chillicothe Municipal Utilities: «Я не думаю, что ERM когда-либо исчезнет — это хорошо для организации, хорошо для общества и хорошо для сотрудников».
Рэйчел Коллинз, доктор философии, главный руководитель исследований в области финансового управления в APQC, Натанаэль Влахос, доктор философии.Д., писатель и аналитик APQC, и Пол Уокер, доктор философии.