Советы по внедрению ГОСТ Р ИСО 31000. См также:
- Изменение применимых процессов принятия решений, когда это необходимо (20/04/2021)
- Определение того, как различные формы решений принимаются в организации (27/04/2021)
- Установление связи и консультаций (04/05/2021)
Внутренний и внешний контекст, рассмотренный при разработке структуры
Структура и процессы управления рисками должны быть адаптированы к внешней среде, в которой работает организация. Внешний контекст может включать:
- культурную, социальную, политическую, правовую, нормативную, финансовую, технологическую, экономическую, естественную и конкурентную среду, на международном, национальном, региональном или местном уровнях;
- ключевые факторы и тенденции, влияющие на цели организации; а также
- ожидания и ценности внешних заинтересованных сторон.
Структура и процессы управления рисками должны быть адаптированы к внутренней среде, в которой организация стремится достичь своих целей. Внутренний контекст может включать:
- волатильность риска и степень влияния риска на достижение целей организации;
- источники риска не достижения целей;
- управление, организационную структуру, роли и подотчетность;
- политику, цели и стратегии, которые существуют для достижения целей;
- возможности, понятные с точки зрения ресурсов и знаний (например, капитал, время, люди, процессы, системы и технологии);
- информационные системы, информационные потоки и процессы принятия решений (как формальные, так и неформальные);
- отношения с внутренними заинтересованными сторонами и их восприятие и ценности;
- политики организации;
- как принимаются решения;
- кто принимает ключевые решения;
- стандарты, руководящие принципы и модели, принятые организацией; а также
- формы и способы договорных отношений.
Риск-менеджеры (эксперты) должны стремиться понимать конкретные отраслевые / нормативные требования к управлению рисками для компании (во многих отраслях есть международные или национальные органы, которые часто определяют конкретные требования к управлению рисками), а также выяснять любые ожидания заинтересованных сторон. Также необходимо проверить, соответствуют ли текущие методы управления рисками этим требованиям.
Структура управления рисками может быть централизована (управление корпоративными рисками отвечает за координацию всех видов деятельности, связанных с управлением рисками) или децентрализованным (каждый сотрудник, ответственный за принятие решений, несет ответственность за свою связанную с этим деятельность по управлению рисками). Риск-менеджеры (эксперты) должны учитывать, что обе структуры могут быть уместными и проверить, соответствует ли существующая структура управления рисками характеру бизнеса, передовой практике отрасли и профилю организационного риска.
Методы оценки риска подходят для принятия решений организацией и надежны
Разработка структуры управления рисками должна способствовать интеграции процесса управления рисками в процесс принятия решений и общего управления организацией. Организации со зрелой риск-культурой обеспечивают условия, в которых соответствующие методы оценки риска и принятия решений используются для различных целей, например:
- Влияние колебаний ликвидности, иностранной валюты или других финансовых рисков на цели может быть проанализировано с использованием моделирования Монте-Карло, анализа чувствительности или иных соответствующих методов.
- Риски, связанные с подрядчиками и ключевыми поставщиками, могут быть измерены с использованием методологии оценки риска или базовой методики оценки качества.
- Риски, связанные с проектами или инвестициями, также могут быть измерены с использованием планирования сценариев или моделирования Монте-Карло с помощью чистой приведенной стоимости или выполнения моделирования Монте-Карло графика / бюджета проекта.
Выбор метода оценки риска будет зависеть от наличия ресурсов:
- Временные ограничения, имеющиеся знания, человеческие, финансовые и другие ресурсы.
- Качество, количество, целостность, своевременность, валюта, точность, надежность, согласованность данных и способность их собирать.
- Сложность рисков, взаимозависимость и сложность систем управления.
Некоторые методы и степень детализации анализа могут быть предусмотрены законодательством.
Вне зависимости от используемой методики оценки рисков, руководители рисков должны обеспечить полную прозрачность выбора инструмента и ключевые допущения, сделанные в ходе оценки риска. Ограничения, неопределенности и допущения, влияющие на оценку риска, должны быть четко рассмотрены на каждом этапе оценки риска и задокументированы прозрачным образом. Лица, принимающие решения, могут использовать источники информации, такие как исторические данные, опыт, обратную связь с заинтересованными сторонами, наблюдение, прогнозы и заключение экспертов, однако они всегда должны учитывать соответствующие объяснения для поддержки своих и других заинтересованных сторон. Это может охватывать:
- Факторы, которые они могли включить или исключить из оценки риска.
- Допущения, которые они сделали.
- Расхождение во мнениях между участниками при проведении оценки риска.
- Оценку взаимосвязи различных данных нескольких участников.
- Ограничения используемых методов и способы их решения (или отсутствие решения).
- Ограничения на надежность или качество используемых данных.
Следует проявлять дополнительную осторожность при использовании методов оценки риска из-за влияния когнитивных искажений и фундаментальных недостатков разработки в качественных оценках риска, как описано в [1].
Риск-менеджеры (эксперты) должны выбрать пример прошлых оценок риска для проверки того, что информация о допущениях и ограничениях отдельных методов оценки риска была записана и раскрыта всем заинтересованным сторонам. Риск-менеджеры (эксперты) должны проверить, подходят ли методы оценки риска (изложенные на этапе разработки структуры управления рисками) для различных типов решений, внутреннего и внешнего контекста организации.
[1] Thomas, Philip & Bratvold, Reidar & Bickel, J. (2013). Риск использования матриц риска. SPE Экономика и менеджмент. 6. 10.2118 / 166269-МС. Ограничения качественных методов оценки рисков должны раскрываться менеджерами по рискам.