Советы по внедрению ГОСТ Р ИСО 31000. См также:
Организации со зрелой риск-культурой пытаются достичь согласованности в понимании терминов и определений управления рисками в бизнес-единицах посредством проведения информационных кампаний, обучения и постоянного внутреннего общения.
Риск-менеджеры (эксперты) должны обсуждать управление рисками с несколькими сотрудниками, имеющими различный опыт, для оценки уровня осведомленности о целях управления рисками, различий между активным управлением рисками и кризисным управлением и уровнем их знакомства с ключевыми терминами и определениями.
Риск-менеджеры (эксперты) также должны проверить, говорят ли менеджеры по рискам на деловом языке, а не “рисковать” при привлечении руководителей высшего звена. Такие термины, как “аппетит к риску”, “реестры риска”, “моделирование Монте-Карло” могут быть хороши, когда вы говорите в группе сотрудников по риску или разговариваете с финансовым директором, но должны быть настроены при разговоре, например, с руководителем отдела производства или маркетинга.
Надлежащее и своевременное участие заинтересованных сторон и, в частности, лиц, принимающих решения на всех уровнях организации, гарантирует, что управление рисками остается актуальным и современным. Привлечение также позволяет заинтересованным сторонам быть представленным надлежащим образом и учитывать их мнения при определении критериев риска. Заинтересованные стороны должны своевременно получать достоверную и полную информацию, понимать принципы и допущения, на основании которых принимаются решения, и обеспечивать, чтобы их решение было рассмотрено надлежащим образом.
Организация может использовать матрицу назначения ответственности, также известную как матрица RACI, которая описывает участие различных ролей при выполнении задач или результатов для проекта или бизнес-процесса. Это особенно полезно при разъяснении ролей и обязанностей в межфункциональных / ведомственных проектах, задачах и процессах. Риск-менеджеры (эксперты) должны проверить, включает ли управление рисками ключевых участников.
Организации со зрелой риск-культурой объединяют информацию по управлению рисками в существующую управленческую отчетность. Отчеты руководства должны включать информацию о рисках и эффективности. Для некоторых организаций считается хорошей практикой сообщать не о самих рисках, а о том, какое влияние они окажут на цели компании. Современные методы оценки рисков позволяют количественно оценить вероятность достижения каждой из бизнес-целей. Руководство должно знать текущий уровень достижения (эффективности), а также текущий уровень риска, поэтому некоторые организации предпочитают сообщать о ключевых стратегических и оперативных целях, скорректированных с учетом риска.
Выделенные отчеты могут быть подготовлены для конкретных значительных рисков, требующих неотложного или особого внимания со стороны старшего руководства или основных заинтересованных сторон.
Организации со зрелой риск-культурой должны проверить, была ли информация управления рисками надлежащим образом интегрирована в ежедневную отчетность по эффективности управления и для любых отчетов, посвященных значительным рискам. Организации со зрелой риск-культурой также должны проверить, доступна ли информация по управлению рисками на веб-сайте компании, в информационных бюллетенях или в портале.
Информация об управлении рисками также должна предоставляться заинтересованным сторонам вне организации. Организации со зрелой риск-культурой включают информацию по управлению рисками в следующие типы отчетов:
Проводящие оценку должны проверить, компетентно ли представлена информация об управлении рисками во внешней отчетности, является ли актуальной, точной и относится ли к ISO 31000.
_________________________