Что означает термин управление рисками
Что означает термин управление рисками
ГОСТ Р 51897-2011/Руководство ИСО 73:2009
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Термины и определения
Risk management. Terms and definitions
— Примечание изготовителя базы данных.
Дата введения 2012-12-01
Предисловие
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного аутентичного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»
Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)
6 ПЕРЕИЗДАНИЕ. Февраль 2019 г.
Введение
Настоящий стандарт содержит определения основных терминов в области менеджмента риска.
Применение менеджмента риска имеет прикладную направленность. Поэтому целесообразно при подготовке и пересмотре нормативной документации и стандартов, включающих аспекты менеджмента риска, не устанавливать термины и их определения, дополняющие терминологический словарь разрабатываемого документа, а приводить ссылку на настоящий стандарт. Если в нормативной документации или стандарте использованы термины, относящиеся к менеджменту риска, установленные настоящим стандартом, то обязательным требованием является приведение этих терминов без изменения.
Для снижения количества последствий опасных событий и достижения поставленных целей организации все чаще применяют процессы менеджмента риска и внедряют интегрированный подход к менеджменту риска, направленный на расширение и улучшение перспектив организации. Термины и определения, установленные в настоящем стандарте, имеют более широкое значение и применение, чем термины, установленные в Руководстве ИСО/МЭК 51*, ограниченные аспектами безопасности, т.е. его негативными последствиями. Настоящий стандарт охватывает различные виды и направления деятельности, что позволяет организациям использовать более широкий подход к менеджменту риска.
* Руководство ИСО/МЭК 51:1999 «Аспекты безопасности. Руководящие указания по включению их в стандарты».
Приведенные в стандарте термины ранжированы в следующем порядке:
— термины, относящиеся к риску;
— термины, относящиеся к менеджменту риска;
— термины, относящиеся к процессу менеджмента риска;
— термины, относящиеся к обмену информацией и консультациям в области риска;
— термины, относящиеся к целям и области применения;
— термины, относящиеся к оценке риска;
— термины, относящиеся к идентификации риска;
— термины, относящиеся к анализу риска;
— термины, относящиеся к сравнительной оценке риска;
— термины, относящиеся к обработке риска;
— термины, относящиеся к мониторингу и измерениям.
Область применения
Разделу не присвоен номер для сохранения идентичности стандарта.
Настоящий стандарт устанавливает основные термины в области менеджмента риска. Целью настоящего стандарта является обеспечение единого понимания и использования терминов в области менеджмента риска.
Настоящий стандарт предназначен для применения:
— лицами, участвующими в управлении риском;
— разработчиками межгосударственных стандартов и другой нормативной документации;
— разработчиками национальных стандартов, нормативных документов, процедур, правил и стандартов организации.
Основные принципы в области менеджмента риска установлены в стандарте ИСО 31000 [6].
1 Термины, относящиеся к риску
2 Термины, относящиеся к менеджменту риска
2.1 менеджмент риска: Скоординированные действия по руководству и управлению организацией в области риска (1.1).
management du risque
2.1.1 структура менеджмента риска: Взаимосвязанные элементы, которые обеспечивают реализацию принципов и организационные меры, применяемые при проектировании, разработке, внедрении, мониторинге (3.8.2.1), анализе и постоянном улучшении менеджмента риска (2.1) организации.
risk management framework
cadre organisationnel de management du risque
2.1.2 политика в области менеджмента риска: Заявление высшего руководства об общих намерениях, руководящих принципах и направлениях деятельности организации в области менеджмента риска (2.1).
risk management policy
politique de management du risque
2.1.3 план менеджмента риска: Краткое, схематичное описание деятельности и мероприятий в пределах структуры менеджмента риска (2.1.1), устанавливающих подход, элементы менеджмента и ресурсы, применяемые для менеджмента риска (2.1).
risk management plan
plan de management du risque
3 Термины, относящиеся к процессу менеджмента риска
3.1 процесс менеджмента риска: Взаимосвязанные действия по обмену информацией, консультациям, установлению целей, области применения, идентификации, исследованию, оценке, обработке, мониторингу (3.8.2.1) и анализу риска (3.6.1), выполняемые в соответствии с политикой, процедурами и методами менеджмента организации.
risk management process
processus de management du risque
3.2 Термины, относящиеся к обмену информацией и консультациям в области риска
3.2.1 обмен информацией и консультации: Непрерывные итеративные процессы, выполняемые организацией для обеспечения, распространения или получения информации и участия в диалоге с причастными сторонами (3.2.1.1) по вопросам, относящимся к менеджменту риска (2.1).
communication and consultation
— процесс, который способствует принятию решения на основе убеждения, а не под давлением;
— процесс, который предшествует процессу принятия решения, но не объединяется с ним.
communication et concertation
3.2.1.1 причастная сторона: Любой индивидуум, группа или организация, которые могут воздействовать на риск, подвергаться воздействию или ощущать себя подверженными воздействию риска.
3.2.1.2 восприятие риска: Представления причастных сторон (3.2.1.1) о риске (1.1).
perception du risque
3.3 Термины, относящиеся к целям и области применения
3.3.1 установление области применения: Определение внешних и внутренних факторов, которые следует учитывать при управлении риском и установлении сферы применения критериев риска (3.3.1.3) и менеджмента риска, необходимых для определения политики в области менеджмента риска (2.1.2)
establishing the context
du context
3.3.1.1 внешняя область применения: Внешние условия, в которых организация работает и достигает своих целей.
— внешнюю среду, связанную с культурной, социальной, политической, законодательной, регулирующей, экономической, природной или конкурентной сферой на международном, национальном, региональном или местном уровне;
— ключевые критерии и тенденции, которые могут воздействовать на достижение установленных целей организации;
— взаимоотношения с внешними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон (3.2.1.1).
3.3.1.2 внутренняя область применения: Внутренние условия, в которых организация работает и достигает своих целей.
— управление, организационную структуру, обязанности и подотчетность;
— политику, цели и задачи, а также стратегию их достижения;
— возможности организации с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);
— информационные системы, информационные потоки и процессы принятия решений (формальные и неформальные);
— взаимоотношения с внутренними причастными сторонами, восприятие ими риска и значимость для организации этих причастных сторон;
— стандарты, руководящие принципы и модели работы, принятые в организации;
— форму и объем договорных отношений.
3.3.1.3 критерий риска: Совокупность факторов, по сопоставлению с которыми оценивают значимость риска (1.1).
de risque
3.4 Термины, относящиеся к оценке риска
3.4.1 оценка риска: Процесс, охватывающий идентификацию риска (3.5.1), анализ риска (3.6.1) и сравнительную оценку риска (3.7.1).
du risque
3.5 Термины, относящиеся к идентификации риска
Управление рисками организации
Управление рисками организации – тип стратегии управления бизнес-процессами. Она направлена на выявление, понимание и подготовку к видам угроз, опасностей и других потенциальных отклонений от стандартных операционных процедур, которые могут быть восприняты как риски.
Управление рисками организации: основные направления
Процессы управления рисками охватывают 4 основные области:
Управление рисками угроз
Для оценки угроз, риск менеджеры следуют следующим пяти шагам:
Этот процесс ориентирован на превентивное и на антикризисное управление рисками.
В управлении рисками следует различать понятия риска, угрозы и воздействия:
Внутренний контроль
Внутренний контроль — механизм обеспечения выполнения бизнес-процессов, в соответствии с требованиями, которые обеспечивают снижение вероятности и тяжести последствий рисков.
Процессы внутреннего контроля позволяет повысить эффективность бизнес-процессов в общем и, в частности, процессов связанных с отчетностью, и обеспечением выполнения требований регуляторов.
Крупные организации, особенно действующие в строго регулируемых областях, часто имеют обширную систему внутреннего контроля.
Внутренний аудит
Как бы парадоксально это не было, но внутренний аудит — надсмотрщик за надсмотрщиком. Основанная задача внутреннего аудита заключается в том, чтобы убедиться, что процессы внутреннего контроля работают должным образом. Что важнее, функция внутреннего аудита имеет и другой уровень. Именно внутренний аудит отвечает за стоимость, эффективность и результативность процессов системы управления рисками организации.
Внутренний аудит оценивает как, фактически, осуществляется практическое управление рисками в организации и насколько управление соответствует документированным политикам и процедурам. Естественно, при обнаружении расхождения, задача внутреннего аудита определить что и как нужно поменять: процессы или документацию.
Внутренние аудиторы следят за операционной деятельностью компании, последовательностью управления и соблюдением требований системы управления рисками.
Соответствие регуляторным требованиям
Компании должны следовать определенным правилам и требованиям регулирующих органов. Данная область управления рисками организации концентрируется именно на этих вопросах.
Регуляторы выдвигают требования к безопасности объектов, учету персональных данных, экологической политике, социальной ответственности, финансовой отчетности и так далее.
Как правило, в компаниях существуют специализированные подразделения, комплаенс службы, которые занимаются интерпретацией требований регуляторов, разрабатывают процессы и процедуры, проводят обучение, дают рекомендации и осуществляют консультационную поддержку сотрудников компании. Часто комплаенс служба состоит буквально из одного — двух сотрудников, которые, также, выполняют функции внутреннего контроля.
Примеры подходов к управлению рисками организации
В процессе эволюции подходов к управлению рисками организации, были разработаны соответствующие стандарты. Каждый из стандартов описывает разные походы к выявлению, анализу, реагированию и общему управлению рисками и возможностями. Далее приведены наиболее популярные стандарты управления рисками организации.
ISO 31000
ISO 31000 относится к семейству стандартов управления рисками, определенных Международной организацией по стандартизации.
Наряду с более широким семейством стандартов, ISO 31000 относится к конкретному стандарту в рамках этого семейства. ISO 31000:2018 является самой последней версией на момент написания статьи.
ISO 31000: 2018 содержит набор руководящих принципов по управлению рисками для организаций. Это не набор требований и соблюдение данных принципов не позволяет пройти сертификацию, в отличие от других стандартов ISO, таких, как ISO 9001.
Другие стандарты семейства, например IEC/FDIS 31010, включают описание и рекомендации по конкретным методам управления рисками организации.
Casualty Actuary Society (CAS) – это общество профессионалов специализирующихся на страховании имущества и несчастных случаев.
В 2003 году Комитет по управлению корпоративными рисками общества определил ERM, используя два понятия: тип риска и процессы управления рисками.
О ERM они сказали следующее:
…дисциплина, с помощью которой любая организация оценивает, контролирует, эксплуатирует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон. – Комитет CAS ERM, из Overview of Enterprise Risk Management
Примеры типов рисков
Процессы управления рисками
COSO – это совместная американская инициатива, созданная в 1985 году для предотвращения корпоративного мошенничества. В их книге Enterprise Risk Management: Integrating with Strategy and Performance (2017 Edition) говорится:
Управление рисками организации – это не функция или отдел. Это культура, возможности и практика, которую организации интегрируют со стратегией. ERM применяют при осуществлении стратегии, с целью управления рисками при создании, сохранении и реализации ценности. – Enterprise Risk Management: Integrating with Strategy and Performance
COSO акцентирует внимание на пяти компонентах системы управления рисками организации:
Руководство и культура
Управление рисками организации не может быть успешным, если организация не стремится полностью интегрировать его в свою культуру.
Это касается этики, лежащей в основе обязанностей работников, кодексов поведения и правильного понимания рисков, а также всех связанных с ними управленческих программ и решений.
Стратегия и постановка целей
Фундаментальной частью системы управления рисками организации является обеспечение соответствия стратегий управления рисками основным целям и более широким бизнес-стратегиям.
Бизнес-цели являются основой для планирования и реализации стратегий, одновременно служа стартовой площадкой для выявления, оценки и реагирования на риски.
Производительность
Оценка того, как определенные риски могут повлиять на эффективность ключевых процессов, важна для определения приоритетов работы с рисками.
В этом контексте риски распределяются по приоритетам в порядке серьезности их последствий.
После этого меры реагирования на риски отбираются на основе оценки выявленного потенциала риска. Результаты этой части процесса доводятся до сведения ключевых заинтересованных сторон.
Анализ и пересмотр
Анализируя эффективность процессов управления рисками, организации могут определить, насколько хорошо работает программа ERM, включая необходимость внесения изменений.
Информация, коммуникация и отчетность
ERM – это не единый контрольный список или фиксированный набор шагов; это непрерывный процесс сбора и оценки информации из внутренних и внешних источников во всех подразделениях организации.
Пять вышеприведенных компонентов поддерживаются дополнительным набором принципов. Эти принципы носят широкий характер и охватывают все – от корпоративного руководства программой ERM до методов мониторинга рисков.
Каждый из принципов является кратким и лаконичным. В таком виде они приводятся в Enterprise Risk Management: Integrating with Strategy and Performance (издание 2017 года):
Организации могут использовать эти принципы в качестве ориентира для определения контекста и подтверждения своих усилий по пониманию и созданию программы управления рисками организации, согласованной с их стратегией и бизнес-целями.
Процесс управления рисками организации
Процесс управления рисками организации состоит из пяти элементов:
Определение целей и обеспечение согласованности ERM со стратегией бизнеса
В основе структуры COSO ERM лежит идея использования корпоративного управления рисками для достижения успеха в реализации бизнес-целей.
Само по себе, определение рисков не будет реализовывать бизнес-цели. Скорее плоды комплексной программы ERM жизненно важны для разработки стратегии достижения бизнес-целей.
Использование структуры ERM помогает гарантировать, что бизнес способен согласовать цели с миссией, видением и основными ценностями.
Идентификация и документирование рисков
Риски следует рассматривать как все, что потенциально может повлиять на успешное достижение бизнес-целей. Все риски должны быть четко определены и хорошо документированы.
Речь идет обо всех рисках, начиная от крупных, более значительных рисков, вплоть до небольших рисков, на уровне отдельных проектов или процессов.
Для успешного выявления рисков необходим четко определенный процесс систематической оценки каждой области деятельности.
Оценка документированных рисков
Простого определения рисков недостаточно. Должна быть понятна вероятность возникновения риска и степень его последствий, в случае наступления.
После того как значительные риски были должным образом задокументированы, следующая задача состоит в том, чтобы оценить их с точки зрения вероятности и предполагаемой значимости.
Иногда трудно или невозможно точно предсказать вероятность, или временные рамки определенных рисков, например, стихийных бедствий. Тем не менее это упражнение должно выполняться в меру возможностей организации и на всех уровнях.
Эта задача особенно важна для того, чтобы убедиться, что все документированные риски имеют существенную достоверность. Нестандартные предположения, записанные в ходе групповых мозговых штурмов, могут выглядеть разумно, но потребовать дальнейшего изучения и уточнения. Качественный и прогностический анализ поможет рассортировать риски по степени значимости.
Существуют различные методы оценки документированных рисков, от простых качественных подходов, таких как матрица приоритетов, до более глубоких математических моделей.
Суть этой задачи состоит в том, чтобы помочь руководству определить, какие риски заслуживают самого пристального внимания.
Другой вариант – создать тепловую карту значимости риска. Цель тепловой карты состоит в том, чтобы подкрепить результаты оценки риска иллюстрацией, дополняющей активный диалог о том, как эти результаты соотносятся с текущим аппетитом организации к риску, и определить срочные решения, которые могут потребовать внедрения.
Ниже приведен упрощенный пример тепловой карты обзора приоритетов рисков:
Ответ на риск
Ответ на риск предназначен для того, чтобы выяснить, как реагировать на высокоприоритетные риски.
Руководство несет ответственность за тщательный анализ вероятностей и предполагаемых последствий каждого риска, а также за учет всех связанных с этим затрат и выгод при разработке соответствующей стратегии реагирования на риск.
Ответ на риск подразделяется на четыре собственные категории:
Уклонение
Как ясно следует из названия, этот тип реагирования на риск включает в себя просто “уход” от риска.
Например, компания может принять решение о переезде, исходя из рисков, связанных с определенной геополитической напряженностью, или полностью отказаться от продукта или услуги, которые оказались особенно рискованными.
Иногда может быть слишком поздно уклоняться от рисков, потому что ущерб уже нанесен и понесены издержки.
Вот почему профилактические меры и адекватный анализ потенциальных рисков так важны – чтобы держать реакцию уклонения на контроле.
Снижение
Часто риски могут быть снижены различными способами.
Диверсификация продуктовой линейки может снизить риск, связанный с изменением тенденций или сезонными покупками, использование нескольких временных решений для обеспечения отказоустойчивости, таких как автономное резервное копирование и несколько операционных центров, снизит риск стихийных бедствий, автоматизация определенных задач в процессе снизит риск человеческой ошибки и т. д.
Простые изменения в стандартных операционных процедурах, даже кажущиеся обыденными изменения, такие как обеспечение надлежащего информирования сотрудников о политике компании, иногда могут привести к значительному снижению риска.
Разделение
Разделение рисков – это принцип приобретения страховки для хеджирования или компенсации своих рисков.
На финансовом примере концепция коротких опционов и длинных опционов позволяет инвесторам хеджировать свои ставки на движение цен.
Соглашения о совместном предприятии также могут означать, что компании разделяют потенциальные риски и выгоды.
По сути, разделение рисков – это идея переложить часть риска на другую сторону с пониманием того, что вы заменяете воспринимаемую “ценность” этого риска более ощутимыми денежными затратами.
Принятие
Принять риск это значит не предпринимать никаких действий.
Вместо того чтобы покупать страховой полис, бизнес может решить “выполнить самострахование”. Это может принять форму выделения ресурсов для борьбы с определенными рисками, если они проявятся.
Мониторинг рисков
Идентификация рисков – это не то, что делается один раз. Как и совершенствование бизнес-процессов, это непрерывный процесс.
Контекст, в котором выявляются определенные риски, постоянно меняется, и поэтому такие риски необходимо отслеживать, чтобы постоянно определять их значимость.
Иногда изменение обстоятельств может привести к тому, что риск станет еще больше. Яркий пример тому – геополитические волнения. Организации нуждаются в надлежащих системах мониторинга и реагирования на изменения обстоятельств и адекватного определения того, представляют ли выявленные риски все еще угрозу.
Что такое риск-менеджмент
Управление рисками — это отдельное направление менеджмента, которое помогает компании заранее выявить опасности, просчитать потенциальное воздействие и принять меры по их ликвидации. Если вы владеете инструментами риск-менеджмента, то спрос на вас в бизнес-среде увеличивается в разы.
Разобрались, что конкретно называют риск-менеджментом, какие существуют методы и принципы управления рисками и где учиться этому направлению.
Что такое управление рисками
С точки зрения науки риск-менеджментом будет называться некая система, которая предупреждает появление опасностей для бизнеса. Кроме того, утверждает автор практического пособия «Риски в торговле» для студентов направления экономической теории Елена Саркисова, риск-менеджмент должен предложить бизнесу три сценария выхода из ситуации:
К этому определению стоит добавить мнение вице-президента компании
Du Pont Сюзан Штальнекер:
«Риск-менеджмент — стратегическое средство увеличения рентабельности и сглаживания непостоянства уровня прибыли».
Можно сказать, что основная цель риск-менеджера — определить в организации такой набор действий, при котором получится риск превратить в прибыль или как минимум не допустить неблагоприятного результата. Для этого необходимо учитывать множество разнообразных факторов, способных оказать влияние на этот процесс.
Классификация рисков
Какого-то устоявшегося разделения рисков на виды и категории нет — все зависит от специфики бизнеса. Например, можно попробовать разделить события, взяв за основу учебник по экономике «Экономические и финансовые риски. Оценка, управление…», авторы Шапкин А.С. и Шапкин В.А.
Разделение ведется по сфере возникновения и сфере деятельности:
Видов рисков — десятки. В зависимости от компании, в классификацию стоит добавить репутационные сложности, проблемы с персоналом, если его сложно нанять, или, например, кредитные проблемы.
Смотрите также: Корпоративная безопасность. 5 базовых угроз
Что должен делать менеджер по управлению рисками
Если изучить вакансии риск-менеджера, то получается, что их должностные обязанности следуют из классификации рисков. Например, в зависимости от специфики бизнеса, необходимо:
Список обязанностей будет меняться в зависимости от размера компании и ее задач.
Какие методы использует риск-менеджмент
Методы и принципы риск-менеджмента зависят от того, какие цели ставит руководство компании перед отделом управления рисками.
Например, менеджеры могут разработать оценку риска банкротства компании с помощью различных математических методов. Одни из популярных — методы Таффлера и Альтмана, когда за основу данных берется отношение прибыли от продаж до уплаты налога к сумме текущих обязательств плюс суммы текущих активов, обязательств и выручки.
Смотрите также: Комплаенс — новое понятие в российском законодательстве
Еще один вариант оценки — изучение «контроллинга» с помощью подхода Нортона и Каплана. Это способ выяснить, насколько сбалансирована модель бизнеса. Изучается сразу несколько индикаторов:
Где учиться риск-менеджменту
Один из полноценных и проверенных вариантов — тренинг «Контроллинг и риск-менеджмент» в Русской Школе Управления. В программу входит подробное изучение всех современных способов прогнозирования рисков и создания системы защиты компании. Курс практический, с двумя практикумами — «Управление организацией по системе KPI» и «Прибыльность в разрезе клиент-продукт».
В программе тренинга:
Подробно о программе, форматах обучения и условиях — здесь. Присоединяйтесь к сообществу профессионалов!