Советы по внедрению ГОСТ Р ИСО 31000
Управление рисками интегрировано в стратегическое и оперативное планирование
Зрелые организации должны интегрировать управление рисками в процесс планирования как на стратегическом, так и на оперативном уровнях. Организации, которые успешно внедрили управление рисками в планирование, будут иметь следующие элементы:
- Оценка рисков проводится в рамках процесса разработки стратегии и операционного планирования. Риски должны быть идентифицированы, проанализированы и оценены при разработке стратегических или оперативных целей, а не как отдельная автономная деятельность. Как положительные, так и неблагоприятные возможности необходимо оценивать при определении того, какая цель и стратегия представляется на утверждение Совету директоров и должны обсуждаться в рамках работы Совета директоров.
- Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе результатов оценки риска, например, скорректированных с учетом риска доходность инвестиций, скорректированных с учетом риска цели продаж и модифицированных для отражения изменений в профиле риска организации и / или ее внутреннего и внешнего периметра.
- Информация о рисках и их управлении прозрачна и интегрирована в документацию по стратегическому планированию, включая бизнес-планы или подобное.
- Бизнес-планы и планы действий, разработанные в ходе стратегических или оперативных процессов планирования, включают планы управления рисками.
- Основные заинтересованные стороны, участвующие в определении стратегии или оперативном планировании, участвуют в оценке рисков, достаточности и эффективности мероприятий по их минимизации.
- Структуры, критерии, роли и обязанности оценки рисков документируются стратегиями и процедурами стратегического и / или оперативного планирования, а не как отдельный документ по управлению рисками.
Высшее руководство рассматривает оценку риска как ценный шаг в процессе планирования.
Рецензенты должны проверить, можно ли удостовериться в документах, описанных свыше.
Управление рисками интегрировано в управление производительностью
Зрелые организации также должны интегрировать управление рисками в процессы управления корпоративной производительностью. Организации, которые успешно внедрили управление рисками в управление производительностью, будут иметь следующие элементы:
- Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе оценок риска, например, скорректированных с учетом риска доходность инвестированного капитала, скорректированных с учетом риска цели продаж или KPI управления рисками для отдельных сотрудников. Использование KPI с учетом риска также помогает определить вероятность достижения, снижения или превышения целей.
- Бизнес-единицы имеют целевые показатели управления рисками (лимиты риска, коэффициенты риск/доход) и эффективность управления ими контролируется регулярно.
- Эффективность по отношению к целям управления рисками оказывает значительное влияние на распределение ресурсов, понимаемых в терминах (например, капитал, время, люди, процессы, системы и технологии), но также влияет на вознаграждение сотрудников, ежегодные и индивидуальные обзоры эффективности и потребности в обучении. анализ.
- Информация о рисках и управлении ими явно включена в существующее управление производительностью и отчетность.
- Элементы управления рисками четко документируются в рамках политики и структуры управления производительностью.
Проводящие оценку должны проверить, интегрировано ли управление рисками с системами управления производительностью, такими как сбалансированные системы показателей, ключевые показатели эффективности (KPI), вознаграждением, компенсацией и оценкой эффективности деятельности. На индивидуальном уровне KPI управления рисками могут быть установлены на основе принятия решений с учетом риска, своевременному управлению рисками, оценок обучения управлению рисками или оценки внутреннего аудита эффективности управления рисками в разных бизнес-единицах.
Проводящие оценку должны проверить, как в настоящее время измеряются и контролируются индивидуальные и корпоративные показатели, и анализируются ли риски при компетентном рассмотрении при оценке и повышении эффективности работы.
Управление рисками интегрировано в основные операционные процессы
Зрелые организации также должны интегрировать управление рисками в основные операционные процессы. Такие интеграционные процессы будут отличаться для каждой отрасли, сектора и типа организации.
Интеграция управления рисками в основной процесс подразумевает, что оценки рисков проводятся на важных этапах процесса, позволяющих принимать операционные решения с учетом рисков, помогая лицам, принимающим решения, рассматривать возможные последствия для каждого варианта. Это необходимо делать систематически и надлежащим образом в соответствии с политиками и процедурами. Например:
- в крупной энергетической компании оценка риска может быть интегрирована в планирование технического обслуживания, финансовые операции или политические решения.
- оценка и моделирование рисков авиакомпаний могут быть интегрированы в прогнозирование полетов, подготовку пилотов, техническое обслуживание или хеджирование закупок топлива
- в оценке инвестиционной компании оценка рисков может быть включена в стратегическое распределение активов, выбор инвестиций, управление активами и управление фондами.
Высшее руководство должно обеспечить выделение соответствующих ресурсов с учетом политики и структур управления рисками, включая компетентных и обученных людей. Зрелые организации обеспечивают условия, при которых структура управления рисками поддерживается соответствующими инструментами, людьми и другими ресурсами.
Оценка должна быть направлена на то, чтобы понять, какие бизнес-процессы считаются ключевыми, и определить, адекватно ли включены элементы управления рисками. В большинстве отраслей промышленности, особенно в деятельности с высоким риском, элементы управления рисками требуются по закону. В ходе проверки уровня зрелости и качества управления рисками необходимо убедиться, что существующие инструменты и методы, используемые для оценки рисков, компетентны и соответствуют принципам ISO31000: 2009.
Другая быстрая проверка может включать в себя анализ существующих систем управления в организации (примеры включают управление качеством ISO 9001, экологический менеджмент ISO14001 и т. д.), чтобы увидеть, применяются ли последовательные принципы управления рисками по различным дисциплинам.
Управление рисками интегрировано в поддерживающие функции
Зрелые организации также должны интегрировать управление рисками во вспомогательные функции (ИТ, финансы, закупки, юридический отдел, внутренний аудит, отдел кадров и т. д.). Уровень интеграции будет зависеть от типа бизнес-процесса; некоторые из примеров включают:
- финансы: оценка рисков может быть интегрирована в бюджетирование, инвестиционные решения, управление денежными средствами, хеджирование и финансовое планирование. Зрелые организации могут выходить за рамки типичных инструментов, таких как чистая приведенная стоимость, внутренняя норма прибыли, анализ сценариев и анализ чувствительности к более сложным инструментам управления рисками, таким как моделирование методом Монте-Карло с использованием таких инструментов, как Vose ModelRisk, Palisade @Risk или Oracle Crystal Ball.
- закупка: зрелые организации могут выбирать для сбора и мониторинга риски, связанные с подрядчиками и поставщиками услуг. Затем руководство может выбрать свою стратегию ценообразования, критерии отбора, частоту мониторинга и требования к отчетности на основе уровня риска подрядчика. Управление рисками может также применяться к самому решению о закупках, включая рассмотрение вопроса о покупке, аренде, аутсорсинге и т. д.
- внутренний аудит: оценка риска может быть интегрирована в планирование и планирование аудита, а также методологию аудита (аудита, основанного на оценке риска) и отчетности о результатах аудита.
Другие примеры интегрированного управления рисками также могут присутствовать и должны быть пересмотрены во время оценки модели зрелости управления рисками АНО ДПО «ИСАР».
Управление рисками интегрировано в дочерние компании
В некоторых организациях есть многочисленные дочерние компании или портфельные компании, в которых она может иметь большинство или миноритарный пакет акций. Важно реализовать те же принципы управления рисками в дочерних и портфельных компаниях.
Зрелые организации могут иметь следующее:
- согласованные методологии управления рисками, которые могут быть интегрированы в деловую деятельность и принятие решений в ключевых дочерних компаниях и портфельных компаниях
- обучение навыкам управления рисками для управления ключевыми дочерними или портфельными компаниями отчетность по эффективности, включающая результаты оценки рисков.
Управление рисками интегрировано в расширенную цепочку поставок
Многие организации действуют в рамках потенциально сложной системы взаимодействия с другими организациями и внутренними и внешними заинтересованными сторонами. Крайне важно создавать управление рисками не только внутри организации, но и через ее сети, и в ее взаимодействии с другими организациями.
Зрелые организации должны поощрять подрядчиков, поставщиков и ключевых деловых партнеров к принятию управления рисками и применять принципы, изложенные в ISO31000: 2009. Это может быть очевидным благодаря тренингам по управлению рисками для подрядчиков, аудиту управления рисками, выполняемому компанией, поставщиком услуг или документированным в процедурах и инструкциях по управлению подрядчиками.
Скачать бесплатную книгу целиком: https://risk-academy.ru/download/risk-management-guide