Изменение применимых процессов принятия решений, когда это необходимо

Управление рисками
Источник: РИСК Академия
Опубликовано: 20 апреля 2021

Советы по внедрению ГОСТ Р ИСО 31000

Управление рисками интегрировано в стратегическое и оперативное планирование

Зрелые организации должны интегрировать управление рисками в процесс планирования как на стратегическом, так и на оперативном уровнях. Организации, которые успешно внедрили управление рисками в планирование, будут иметь следующие элементы:

  • Оценка рисков проводится в рамках процесса разработки стратегии и операционного планирования. Риски должны быть идентифицированы, проанализированы и оценены при разработке стратегических или оперативных целей, а не как отдельная автономная деятельность. Как положительные, так и неблагоприятные возможности необходимо оценивать при определении того, какая цель и стратегия представляется на утверждение Совету директоров и должны обсуждаться в рамках работы Совета директоров.
  • Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе результатов оценки риска, например, скорректированных с учетом риска доходность инвестиций, скорректированных с учетом риска цели продаж и модифицированных для отражения изменений в профиле риска организации и / или ее внутреннего и внешнего периметра.
  • Информация о рисках и их управлении прозрачна и интегрирована в документацию по стратегическому планированию, включая бизнес-планы или подобное.
  • Бизнес-планы и планы действий, разработанные в ходе стратегических или оперативных процессов планирования, включают планы управления рисками.
  • Основные заинтересованные стороны, участвующие в определении стратегии или оперативном планировании, участвуют в оценке рисков, достаточности и эффективности мероприятий по их минимизации.
  • Структуры, критерии, роли и обязанности оценки рисков документируются стратегиями и процедурами стратегического и / или оперативного планирования, а не как отдельный документ по управлению рисками.

Высшее руководство рассматривает оценку риска как ценный шаг в процессе планирования.

Рецензенты должны проверить, можно ли удостовериться в документах, описанных свыше.

Управление рисками интегрировано в управление производительностью

Зрелые организации также должны интегрировать управление рисками в процессы управления корпоративной производительностью. Организации, которые успешно внедрили управление рисками в управление производительностью, будут иметь следующие элементы:

  • Стратегические и операционные цели / ключевые показатели эффективности (KPI) устанавливаются на основе оценок риска, например, скорректированных с учетом риска доходность инвестированного капитала, скорректированных с учетом риска цели продаж или KPI управления рисками для отдельных сотрудников. Использование KPI с учетом риска также помогает определить вероятность достижения, снижения или превышения целей.
  • Бизнес-единицы имеют целевые показатели управления рисками (лимиты риска, коэффициенты риск/доход) и эффективность управления ими контролируется регулярно.
  • Эффективность по отношению к целям управления рисками оказывает значительное влияние на распределение ресурсов, понимаемых в терминах (например, капитал, время, люди, процессы, системы и технологии), но также влияет на вознаграждение сотрудников, ежегодные и индивидуальные обзоры эффективности и потребности в обучении. анализ.
  • Информация о рисках и управлении ими явно включена в существующее управление производительностью и отчетность.
  • Элементы управления рисками четко документируются в рамках политики и структуры управления производительностью.

Проводящие оценку должны проверить, интегрировано ли управление рисками с системами управления производительностью, такими как сбалансированные системы показателей, ключевые показатели эффективности (KPI), вознаграждением, компенсацией и оценкой эффективности деятельности. На индивидуальном уровне KPI управления рисками могут быть установлены на основе принятия решений с учетом риска, своевременному управлению рисками, оценок обучения управлению рисками или оценки внутреннего аудита эффективности управления рисками в разных бизнес-единицах.

Проводящие оценку должны проверить, как в настоящее время измеряются и контролируются индивидуальные и корпоративные показатели, и анализируются ли риски при компетентном рассмотрении при оценке и повышении эффективности работы.

Управление рисками интегрировано в основные операционные процессы

Зрелые организации также должны интегрировать управление рисками в основные операционные процессы. Такие интеграционные процессы будут отличаться для каждой отрасли, сектора и типа организации.

Интеграция управления рисками в основной процесс подразумевает, что оценки рисков проводятся на важных этапах процесса, позволяющих принимать операционные решения с учетом рисков, помогая лицам, принимающим решения, рассматривать возможные последствия для каждого варианта. Это необходимо делать систематически и надлежащим образом в соответствии с политиками и процедурами. Например:

  • в крупной энергетической компании оценка риска может быть интегрирована в планирование технического обслуживания, финансовые операции или политические решения.
  • оценка и моделирование рисков авиакомпаний могут быть интегрированы в прогнозирование полетов, подготовку пилотов, техническое обслуживание или хеджирование закупок топлива
  • в оценке инвестиционной компании оценка рисков может быть включена в стратегическое распределение активов, выбор инвестиций, управление активами и управление фондами.

Высшее руководство должно обеспечить выделение соответствующих ресурсов с учетом политики и структур управления рисками, включая компетентных и обученных людей. Зрелые организации обеспечивают условия, при которых структура управления рисками поддерживается соответствующими инструментами, людьми и другими ресурсами.

Оценка должна быть направлена на то, чтобы понять, какие бизнес-процессы считаются ключевыми, и определить, адекватно ли включены элементы управления рисками. В большинстве отраслей промышленности, особенно в деятельности с высоким риском, элементы управления рисками требуются по закону. В ходе проверки уровня зрелости и качества управления рисками необходимо убедиться, что существующие инструменты и методы, используемые для оценки рисков, компетентны и соответствуют принципам ISO31000: 2009.

Другая быстрая проверка может включать в себя анализ существующих систем управления в организации (примеры включают управление качеством ISO 9001, экологический менеджмент ISO14001 и т. д.), чтобы увидеть, применяются ли последовательные принципы управления рисками по различным дисциплинам.

Управление рисками интегрировано в поддерживающие функции

Зрелые организации также должны интегрировать управление рисками во вспомогательные функции (ИТ, финансы, закупки, юридический отдел, внутренний аудит, отдел кадров и т. д.). Уровень интеграции будет зависеть от типа бизнес-процесса; некоторые из примеров включают:

  • финансы: оценка рисков может быть интегрирована в бюджетирование, инвестиционные решения, управление денежными средствами, хеджирование и финансовое планирование. Зрелые организации могут выходить за рамки типичных инструментов, таких как чистая приведенная стоимость, внутренняя норма прибыли, анализ сценариев и анализ чувствительности к более сложным инструментам управления рисками, таким как моделирование методом Монте-Карло с использованием таких инструментов, как Vose ModelRisk, Palisade @Risk или Oracle Crystal Ball.
  • закупка: зрелые организации могут выбирать для сбора и мониторинга риски, связанные с подрядчиками и поставщиками услуг. Затем руководство может выбрать свою стратегию ценообразования, критерии отбора, частоту мониторинга и требования к отчетности на основе уровня риска подрядчика. Управление рисками может также применяться к самому решению о закупках, включая рассмотрение вопроса о покупке, аренде, аутсорсинге и т. д.
  • внутренний аудит: оценка риска может быть интегрирована в планирование и планирование аудита, а также методологию аудита (аудита, основанного на оценке риска) и отчетности о результатах аудита.
Проводящие оценку должны проверить, можно ли удостовериться в документах, описанных свыше. Политика и структура, охватывающие вспомогательные функции, должны четко документировать элементы структуры управления рисками.

Другие примеры интегрированного управления рисками также могут присутствовать и должны быть пересмотрены во время оценки модели зрелости управления рисками АНО ДПО «ИСАР».

Управление рисками интегрировано в дочерние компании

В некоторых организациях есть многочисленные дочерние компании или портфельные компании, в которых она может иметь большинство или миноритарный пакет акций. Важно реализовать те же принципы управления рисками в дочерних и портфельных компаниях.

Зрелые организации могут иметь следующее:

  • согласованные методологии управления рисками, которые могут быть интегрированы в деловую деятельность и принятие решений в ключевых дочерних компаниях и портфельных компаниях
  • обучение навыкам управления рисками для управления ключевыми дочерними или портфельными компаниями отчетность по эффективности, включающая результаты оценки рисков.

Управление рисками интегрировано в расширенную цепочку поставок

Многие организации действуют в рамках потенциально сложной системы взаимодействия с другими организациями и внутренними и внешними заинтересованными сторонами. Крайне важно создавать управление рисками не только внутри организации, но и через ее сети, и в ее взаимодействии с другими организациями.

Зрелые организации должны поощрять подрядчиков, поставщиков и ключевых деловых партнеров к принятию управления рисками и применять принципы, изложенные в ISO31000: 2009. Это может быть очевидным благодаря тренингам по управлению рисками для подрядчиков, аудиту управления рисками, выполняемому компанией, поставщиком услуг или документированным в процедурах и инструкциях по управлению подрядчиками.

Скачать бесплатную книгу целиком: https://risk-academy.ru/download/risk-management-guide
Теги: ГОСТ Р ИСО 31000  ИСО 31000  управление рисками  планирование  оценка рисков  операционное планирование  управление производительностью  стратегические цели  операционные цели  риски  ключевые показатели эффективности  KPI  ISO31000: 2009  операционные пр