Møbler 22.09.2019
0 (0 stemmer)

Internasjonale risikostyringsstandarder. Risikostyringsstandarder

Risikostyring som styringsteknologi har gjennomgått en periode med aktiv utvikling i utlandet og i Russland de siste 10-15 årene. Spesielt viktig er spørsmålet om å utvikle en felles forståelse av målene og målene for risikostyringssystemet, terminologien som brukes, organisasjonsstrukturen og selve risikostyringsprosessen, tilpasset moderne russiske forhold. Verdens praksis tilbyr en av de universelle tilnærmingene til å løse dette problemet - forening og standardisering innen risikostyring.

I følge definisjonen Internasjonal organisasjon om standardisering (ISO - ISO), en standard er et normativt dokument som er utviklet på grunnlag av konsensus, vedtatt av et organ anerkjent på passende nivå og etablerer regler for universell og gjentatt bruk, generelle prinsipper og egenskaper knyttet til ulike aktiviteter eller deres resultater, og som tar sikte på å oppnå optimal grad av orden på et bestemt område. Standarder bør være basert på kombinerte resultater av vitenskap, teknologi og praktisk erfaring og rettet mot å oppnå optimal nytte for samfunnet

De siste årene har det vært en klar tendens til å gjenskape risikostyringsstandarder i en rekke land, inkludert Russland, som først ble utviklet for 10–15 år siden og først og fremst knyttet til menneskeskapte farer. Disse inkluderer GOST 27.310-95 "Analyse av typer, konsekvenser og kritikk av feil", GOST R 51901-2002 "Reliabilitetsstyring. Risikoanalyse av teknologiske systemer", GOST R 51897-2002 "Risikostyring. Begreper og definisjoner", samt GOST ISO/TO 12100-1 og 2 - 2002 "Utstyrssikkerhet. Grunnleggende konsepter, generelle designprinsipper” og andre.

GOST R 51901.2-2005 Risikostyring. Pålitelighetsstyringssystemer,

GOST R 51901.13-2005 Risikostyring. Feiltreanalyse og en rekke andre I løpet av 5-6 år er det utviklet 8 risikostyringsstandarder, og dette arbeidet er langt fra ferdig. Den ble utarbeidet i 2009 og vedtatt i august 2010 ny standard- ISO 31000 "Generell veiledning om prinsipper og implementering av risikostyring."

Økt oppmerksomhet fra konsulenter innen risikostyring som opererer i det russiske markedet gis til dokumentet "Risk Management of Organizations. Integrated Model" utviklet av Committee of Sponsoring Organizations of the Treadway Commission (COSO)

The Russian Society for Risk Management, i tillegg til COSO-anbefalingene, vurderer Risk Management Standard fra Federation of European Risk Manager Associations (FERMA), som er en felles utvikling av Institute of Risk Management (IRM), Association of Risk Management og Forsikring (AIRMIC) og Nasjonalt forum for risikostyring i offentlig sektor (ALARM) (2002).

Standarder COSO og FERMA. I dokumentet "Risikostyring av organisasjoner. Integrert modell”, utviklet av Committee of Sponsoring Organizations of the Treadway Commission (COSO), gir grunner for å utvikle konsepter for å konstruere en RMS og anbefalinger for implementering av en rasjonell prosedyre for opprettelsen.

Imidlertid innenlands ideell organisasjon RusRisk anbefaler også risikostyringsstandarden til Federation of European Risk Managers Associations (FERMA), opprettet i 2002 av Institute of Risk Management (IRM), foreningen risikostyring og forsikring (AIRMIC) og Nasjonalt forum for risikostyring i offentlig sektor.

I fig. 5.2 og 5.3 presenterer risikostyringsprosessene i COSO- og FERMA-standardene.

Ris. 5.2.

Ris. 5.3.

FERMA-standarden er basert på terminologien til International Organization for Standardization (ISO/IEC Guide 73:2002 Risk management - Terms and definitions). I motsetning til standardene til individuelle land, definerer FERMA-standarden risiko som "en kombinasjon av sannsynligheten for en hendelse og dens konsekvenser", som er en begrensning av dokumentet. Samtidig er RMS i FERMA-standarden plassert i sentrum av strategistyringssystemet, og strategiske, operasjonelle og økonomiske risikoer og farer er nevnt som de viktigste.

FERMA-standarden inneholder også:

  • ? en kortfattet beskrivelse av hovedelementene i risikostyringsprosedyren, tatt i betraktning avhengigheten av innholdet i informasjonen om typen mottaker;
  • ? en liste over organisatoriske enheter involvert i arbeidet til RMS, og hovedkravene for utarbeidelse av dokumentasjon som følger med risikostyring.

FERMA-standarden er egnet for bruk i selskaper som er mer involvert i produksjonssektoren, eller, i økonomiske termer, i realsektoren av økonomien.

  • ? risiko er en kombinasjon av sannsynligheten for en hendelse og dens konsekvenser;
  • ? stole på systematisk tilnærming;
  • ? optimalisering av risikostyringsprosedyrer basert på analyse av forretningsprosesser, innhold, gunstige og ugunstige faktorer;
  • ? effektiv ledelse kapital og ressurser;
  • ? redusere nivået av usikkerhet i påvirkning av faktorer;
  • ? respektere eiernes interesser og forbedre bildet til organisasjonen;
  • ? forbedre de ansattes ferdigheter og skape en organisatorisk kunnskapsbase;
  • ? optimalisering av forretningsprosesser.

COSO-standarder er først og fremst ment for bruk i bedriftsstrukturer som er aktivt involvert i børshandel.

I samsvar med denne standarden er RMS basert på følgende bestemmelser:

  • ? vurdering av risikoappetitt, bestemt av organisasjonens strategiske mål;
  • ? forbedre prosedyrer for å utvikle tilstrekkelige tiltak i forhold til risiko;
  • ? redusere nivået av miljøusikkerhet;
  • ? identifisere den maksimale listen over risikoer og påvirke dem;
  • ? identifisere gunstige faktorer og realisere mulighetene som gis;
  • ? effektiv kapitalforvaltning.

En sammenligning av utviklingen av innholdet i standarder (for eksempel australske, amerikanske) viser deres gradvise overgang til en mer generalisert form, og fremhever nøkkelstadiene i. I tillegg indikerer utviklingen av risikostyringsstandarder, inkludert deres modernisering og tillegg i enkeltland, at disse prosessene ikke kan avsluttes, da forretningskonteksten er i stadig endring og nye farer, trusler og risikoer oppstår.

Ny internasjonale standarder. Utviklingen av internasjonale standarder fortsetter. Ensartethet i vilkårene er sikret av ISO/IEC Guide 73:2002 “Risk management. Termer og definisjoner" (ISO/IEC Guide 73 "Risk Management Vocabulary Guidelines for use in standards"), publisert i 2002.

I 2009 publiserte International Organization for Standardization ISO Standard 31000 "Risk Management. Risikostyring Prinsipper og retningslinjer for implementering. Det er også laget standarder for visse typer aktiviteter (olje og gass, produksjon av medisinsk utstyr osv.).

ISO 31000-standarden ble utviklet på grunnlag av den allerede nevnte australske og New Zealand-standarden. Risikostyringsprosessen i ISO-standarden er presentert i fig. 5.4. Som følger av fig. 5.1 og 5.4, flytdiagrammene for risikostyringsprosessen i ISO-standarden og Australia og New Zealand-standarden er svært like. Men i tillegg til forskjeller i tolkningen av elementer med lignende navn, er ISO-standarden preget av samtidig implementering av risikoidentifikasjons-, analyse- og vurderingsprosesser, noe som ikke er gitt i den australske og New Zealand-standarden.

Etablering av kontekst innebærer en analyse av organisasjonens eksterne og interne miljø, nemlig:

  • ? etablere ekstern kontekst - vurdere forbindelser med ytre miljø og eksterne trusler;
  • ? etablere en intern kontekst - bestemme elementene i systemet som representerer organisasjonen, interne forbindelser, ressurstilførsel, mål og strategiske mål;
  • ? etablere risikostyringskonteksten - fremheve prosessene som RMS kan påvirke;
  • ? identifisering av risikokriterier som bestemmer behovet for å påvirke det, og som kan tilhøre virksomhetsorganisasjon, teknologi, juss, økonomi, sosiale og miljømessige spørsmål, etc., gjenspeiler holdningen til de involverte til risiko, bestemmelsene i forskrifter

Ris. 5.4.

Kamerat Slike kriterier inkluderer spesielt resultatene av å vurdere implementeringen av risikofaktorer;

Beskrivelse av risikostyringssystemet etter avdeling.

Under risikovurderingen implementeres også følgende prosesser parallelt:

  • ? identifisering av risikoer - sannsynlige kilder til risikofaktorer identifiseres og resultatene av implementeringen av dem vurderes;
  • ? risikoanalyse - sannsynlighetene og resultatene for implementering av risikofaktorer er etablert. Kan utføres kvalitativt eller kvantitativ analyse eller analyse ved bruk av kombinerte metoder;
  • ? risikovurdering - basert på resultatene av risikoanalysen identifiseres risikoen som kan påvirkes i prosessen med vurdering basert på risikokriterier.
  • ? risikobehandling - en rasjonell prosedyre for å påvirke risikoen velges, en konsekvensplan utarbeides og implementeres, restrisikoen vurderes og beskrives. Ved planlegging av behandling bestemmes følgende: innholdet i konsekvensprosedyren og nødvendige ressurser, fordeling av rettigheter og ansvar, effektiviteten av prosedyren, innholdet i rapporteringsdokumentasjon og overvåkingsteknologi;
  • ? overvåking og gjennomgang - løpende dokumentasjon av alle aktiviteter og deres konsekvenser.

Den integrerte risikostyringsprosedyren består av flere elementer.

  • 1. Planlegging av risikostyringsprosedyren. Denne styringsprosedyren må integreres i organisasjonens policy, strategi, aktiva- og ansvarsforvaltning, investeringsforvaltning, revisjon, antikriminell teknologi, etc.
  • 2. Utforming av risikostyringspolitikk. Policyen skal dokumenteres og inneholde en beskrivelse av: målsettinger og styringsteknologi, forholdet mellom innholdet i policyen og strategier, prosedyrer for å påvirke risiko, prosedyrer for å bistå personer involvert i risikostyring, prosedyrer for måling og dokumentering av styringsprosessen. , prosedyrer for periodisk måling av RMS, funksjoner til toppledelsen i forhold til styringsprosessen.

I motsetning til COSO-konseptet, hvor risikostyring presenteres som en prosess rettet mot å identifisere hendelser og administrere den tilhørende risikoen, er risikostyring i ISO-standarder en koordinert innsats for å styre og kontrollere en organisasjon, med hensyn til risiko. Følgelig er risikostyringsprosessen den systematiske anvendelsen av ledelsens retningslinjer, prosedyrer og praksis på aktivitetene med å kommunisere, konsultere, kontekstualisere og identifisere, analysere, vurdere, adressere, overvåke og vurdere risiko.

RMS-modellen beskrevet i standarden (fig. 5.5) er utformet for å forbedre effektiviteten i organisasjonsledelsen.

I vedleggene til standarden står det:

  • ? behovet for kontinuerlig forbedring av ledelsesprosesser og kommunikasjon;
  • ? viktigheten av å etablere ansvar, kontroll og praktisk gjennomføring risikostyringsprosedyrer;
  • ? risikostyringens dominerende rolle i organisasjonens struktur.

For tiden er et stort antall statlige standarder i kraft i Russland, hvorav bare en liten andel, mindre enn 1 %, er standarder relatert til forretningsrisiko, og faktisk denne typen risiko er ekstremt viktig for enhver forretningsenhet. Verdens risikostyringspraksis anser standarden som en modell å strebe etter. Det er få standarder innen risikostyring. Samtidig kommer røttene til eksisterende russiske risikostyringsstandarder, samt et stort antall anbefalte industripraksis, fra utlandet, og legger grunnlaget for prinsippene for utenlandsk virkelighet.

Til generell idé om risikostyringsstandarder, må du gjøre deg kjent med noen av dem: FERMA-standarden, noen postulater av Sarbanes-Oxley-loven, COSO II-standarden og den sørafrikanske standarden - KING II.

FERMA risikostyringsstandarden ble utviklet i fellesskap av The Institute of Risk Management i Storbritannia, Association of Insurance and Risk Management og National Forum for Risk Management in the Public Sector (The National Forum for Risk Management in the Public Sector) og vedtatt i 2002. Ordningen i dokumentet fungerer som grunnlag for implementering av et risikostyringssystem. Disse risikostyringsstandardene inneholder: definisjon av risiko, risikostyring, forklaring av intern og eksterne faktorer risiko, risikostyringsprosesser, risikovurderingsprosedyrer, metoder og teknologier for risikoanalyse, risikostyringsaktiviteter, samt ansvaret til en risikoansvarlig. I følge dette dokumentet betraktes risiko som en kombinasjon av sannsynlighet og dens hendelse, og risikostyring betraktes som en sentral del strategisk ledelse organisasjoner. For eksempel er hovedfunksjonene til en risikospesialist, i henhold til FERMA-standarden, utvikling og implementering av et risikostyringsprogram, koordinering av samspillet mellom ulike strukturelle divisjoner i organisasjonen, utvikling av programmer for å redusere uplanlagte tap og organisere tiltak for å opprettholde kontinuiteten i forretningsprosesser. Hovedideen med denne standarden er at vedtakelsen av standarden er nødvendig for å oppnå enighet om terminologien som brukes, prosessen med praktisk anvendelse av risikostyring, organisasjonsstruktur risikostyring, risikostyringsmål. Det er spesielt viktig å forstå at risikostyring ikke bare er et verktøy for kommersielle og offentlige organisasjoner, men en veiledning for enhver handling (både på kort og lang sikt).

En av få lovlig godkjente standarder innen risikostyring er Sarbanes-Oxley Act. Denne loven omhandler først og fremst spørsmål om internkontroll og pålitelighet av finansiell rapportering, og regulerer også indirekte risikostyringsprosessen. Loven gir ikke veiledning om utvikling av spesifikke finanskontrollprosedyrer. Standarden foreslår analyse av innkommende prosessdata og verifisering av samsvar gjennom revisjon.

I 2001 initierte Committee of Sponsoring Organizations of the Treadway Commission (COSO), sammen med PriceWaterHouseCoopers, et prosjekt for å utvikle prinsippene for risikostyring (Enterprise Risk Management - Integrated Framework). I samsvar med de utviklede prinsippene er risikostyring en prosess som dekker hele virksomheten til en virksomhet, der ansatte er involvert på ulike ledelsesnivåer; et verktøy som lar deg nå dine strategiske mål; teknologi for å identifisere og håndtere risikoer; en måte å sikre virksomheten til et foretak mot mulige feil ledelse eller styre.

Den sørafrikanske standarden "KING II" er en samling standardløsninger i praksisen med risikostyring, er kontinuerlig oppdatert og fungerer som en veiledning for opplæring av risikoledere. Denne standarden tar ikke hensyn til visse spesifikke forretnings- og selskapsstyring, men samtidig er ideologien til prosessen og de ønskede stadiene tydelig uttrykt. Derfor kan nøye tilpasning av prosedyrer til spesifikasjonene til et bestemt selskap føre til ønsket resultat.

Det må sies at de fleste av de analyserte standardene - "COSO II", "FERMA" - fungerer på grunnlag av avtale fra deltakerne. En av få lovlig godkjente standarder innen risikostyring er Sarbanes-Oxley Act. Men denne loven garanterer ikke suksessen til handlinger og prosedyrer.

Imidlertid er eksisterende utenlandske standarder for å bygge et risikostyringssystem, som praksis viser, lite anvendelige i russisk virkelighet, eller er delvis anvendelige. Derfor, i Den russiske føderasjonen Basert på utenlandske utviklet de sine egne standarder innen risikostyring, som vi vil dvele nærmere ved.

Standarder serie 51901, Risk Management, gir generelle instruksjoner innen anvendelsesområdet for risikostyring i et foretak, inneholder metoder for å bruke ulike metoder for å vurdere risikoer, med hensyn til spesifikasjonene ved å bruke en bestemt metode for å vurdere individuelle forretningsrisikoer. Dermed GOST R 51901.1-2002 “Risikostyring. Risikoanalyse teknologiske systemer» etablerer retningslinjer for valg og implementering av risikoanalysemetoder, primært for risikovurdering av teknologiske systemer; GOST R 51901.2-2005 “Risikohåndtering. Pålitelighetsstyringssystemer" beskriver konseptene og prinsippene for pålitelighetsstyringssystemet, definerer hovedprosessene i dette systemet (prosesser for planlegging, ressursdeling, styring og tilpasning) og pålitelighetsoppgaver i stadiene livssyklus produkter relatert til planlegging, design, måling, analyse og forbedring; GOST R 51901.3-2007 “Risikohåndtering. Reliability Management Guidelines" etablerer veiledning for pålitelighetsstyring i design, utvikling, produktevaluering og prosessforbedring; GOST R 51901.4-2005 “Risikohåndtering. Retningslinjer for bruk i design" fastsetter generelle bestemmelser risikostyring under design, dens delprosesser og påvirkningsfaktorer; GOST R 51901.5-2005 “Risikohåndtering. Retningslinjer for anvendelse av pålitelighetsanalysemetoder" inneholder kort oversikt ofte brukte metoder for pålitelighetsanalyse, beskrivelser av hovedmetodene og deres fordeler og ulemper, inndata og andre bruksbetingelser; GOST R 51901.6-2005 "Risikohåndtering. Pålitelighetsforbedringsprogram etablerer krav og gir anbefalinger for å eliminere svakheter i maskinvare og programvare for å forbedre påliteligheten; GOST R 51901.10-2009 “Risikohåndtering. Prosedyrer for håndtering av brannrisiko i en bedrift" inneholder hovedbestemmelsene for brannrisikostyring og etablerer de grunnleggende prinsippene for analyse og tolkning av brannrisiko; GOST R 51901.11-2005 “Risikohåndtering. Fare- og ytelsesstudier. Applikasjonsveiledningen gir veiledning om undersøkelse av fare og systemytelse ved å bruke settet med kontrollord som er definert i denne standarden, og gir også veiledning om bruken av HAZOP-undersøkelsesmetoden og -prosedyrene, inkludert definisjon, forberedelse, undersøkelse og sluttdokumentasjon; GOST R 51901.12-2007 “Risikohåndtering. Metode for å analysere typer og konsekvenser av feil” etablerer metoder for å analysere typer og konsekvenser av feil, typer, konsekvenser og kritikk av feil og gir anbefalinger for bruken av dem; GOST R 51901.13-2005 “Risikohåndtering. Fault Tree Analysis" etablerer en feiltreanalysemetode og gir veiledning om bruken av den; GOST R 51901.14-2007 “Risikohåndtering. Blokkdiagram pålitelighet og boolske metoder" beskriver metoder for å konstruere en systempålitelighetsmodell og bruke denne modellen til å beregne indikatorer på dens pålitelighet og tilgjengelighet; GOST R 51901.15-2005 “Risikohåndtering. Anvendelse av Markov-metoder" etablerer retningslinjer for anvendelse av Markov-metoder for pålitelighetsanalyse; GOST R 51901.16-2005 “Risikohåndtering. Økt pålitelighet. Statistiske kriterier og metoder for vurdering" beskriver modeller og kvantitative metoder estimater for pålitelighetsforbedring basert på systemfeildata innhentet i samsvar med programmet for forbedret pålitelighet. Disse prosedyrene lar en bestemme punktestimater, konfidensintervaller og hypotesetester for systempålitelighetsforbedringskarakteristikk.

Dermed beskriver standardene til 51901-serien "Risk Management" i detalj bruken av ulike metoder og tilnærminger til risikovurdering og analyse, rettet spesifikt mot deres praktiske implementering og bruk i bedriften. For klarhetens skyld diskuterer mange standarder praktiske eksempler.

Standarder innen risikostyring av IEC, ISO-serien er basert på oversettelse av internasjonale standarder utviklet av International Electrotechnical Commission, International Organization for Standardization ISO. Hovedformålene med ISO-standardisering er representert av følgende bransjer: maskinteknikk, kjemi, malm og metaller, informasjonsteknologi, konstruksjon, medisin og helsevesen, miljø, kvalitetssikringssystemer. IEC-standarder er mer spesifikke enn ISO-standarder og er mer egnet for direkte søknad. Stor verdi IEC legger vekt på utvikling av sikkerhetsstandarder - hovedformålet med sikkerhetsstandardisering er å søke beskyttelse fra ulike typer fare.

Omfanget av aktiviteter til IEC inkluderer: traumatiske farer, elektriske farer, eksplosjonsfarer, utstyrsstrålingsfarer, inkl. og fra ioniserende stråling, biologisk fare osv. For eksempel GOST R IEC 62305-1-2010 “Risk management. Lynbeskyttelse. Del 1. Generelle prinsipper" fastsetter de generelle prinsippene for lynbeskyttelse av bygninger, konstruksjoner og deres deler, inkludert mennesker i dem, verktøynettverk relatert til bygningen (strukturen) og andre gjenstander; GOST R ISO 17776-2010 "Risikostyring. Retningslinjer for valg av fareidentifikasjon og risikovurderingsmetoder og verktøy for offshore olje- og gassproduksjonsanlegg" gir en beskrivelse av de viktigste metodene som anbefales for fareidentifikasjon og risikovurdering relevant for utvikling og drift av offshore olje- og gassfelt, inkludert seismikk leting, topografiske undersøkelser, lete- og utviklingsboring, feltutvikling, inkludert tilveiebringelse av ressurser, samt dekommisjonering og avhending av relatert utstyr; GOST R ISO 17666-2006 "Risikostyring. Space Systems" etablerer prinsippene og kravene for integrert risikostyring for et romprosjekt, på grunnlag av hvilke den integrerte virksomhetspolitikken implementeres i risikostyringssystemet under gjennomføringen av prosjektet av hver prosjektdeltaker på alle nivåer (forbruker, først -nivå leverandør, leverandører lavere nivå); GOST R IEC 61160-2006 "Risikohåndtering. Formell designgjennomgang gir veiledning om utførelse av designgjennomgangsprosedyrer som et middel til å drive produkt- og prosessforbedring. Standarden gir veiledning for planlegging og gjennomføring av prosjektgjennomganger og gir detaljert beskrivelse deltakelse i analysen av pålitelighetsspesialister, vedlikehold, reparasjon og ytelsessikring.

ISO/IEC Joint Program Committee fordeler ansvaret til de to organisasjonene i spørsmål knyttet til relaterte teknologiområder. Livssyklusprosesser. Risk Management" og den identiske GOST R ISO/IEC 16085-2007 "Risk Management. Anvendelse i livssyklusprosesser av systemer og programvare”, som etablerer en risikostyringsprosess for bestilling, levering, utvikling, drift og vedlikehold av programvare.

I tillegg til de listede standardene knyttet til håndtering av økonomiske risikoer, er det også spesialiserte standarder som regulerer prosessen med risikostyring på områder som medisin, økologi, informasjonsteknologi, etc.

For tiden har fagfolk innsett det for å skape effektivt system risikostyring, er det nødvendig å utvikle et enhetlig grunnlag for regelverket for organisasjonens risikostyringssystem. Men på grunn av det faktum at det er mange måter å oppnå dette målet på, er det nesten umulig å kombinere alle retninger i et enkelt dokument. Det er derfor allerede eksisterende standarder Risikostyring er ikke ment å være normativ. Men å følge komponentene i de vurderte standardene og velge ulike måter og metoder vil organisasjoner kunne nå sine mål når det gjelder risikostyring.

Litteratur

1. Potapkina M. Risikostyringsstandarder: anvendelsesmetoder i russisk virkelighet [ Elektronisk ressurs]. Tilgangsmodus: www.buk.irk.ru/library/potapkina1.doc.

2. Internasjonale risikostyringsstandarder.» Pedagogisk og metodisk manual[Elektronisk ressurs]. Tilgangsmodus: www.minzdravsoc.ru/.../Mezhdunarodnye_standarty_upravleniya_riskami.doc.

3. Internasjonal standardisering. ISO. IEC [Elektronisk ressurs]. Tilgangsmodus: http://www.asu-tp.org/index.php?option

I tillegg til internasjonale risikostyringsstandarder, er det også nasjonale risikostyringsstandarder vedtatt i land med angelsaksisk lov (Australia, New Zealand, Japan, Storbritannia, Sør-Afrika, Canada).

Ris. 3 – Historie om standardisering av risikostyring.

Samtidig med nasjonale styringsstandarder dukket det opp en rekke regulatoriske krav for konstruksjon og forbedring av risikostyringsprosessen til selskaper relatert til bransjespesifikasjoner. Blant er de mest kjente de som påvirker aktivitetene til forsikringsselskaper, gjenforsikringsselskaper (Solvens, Solvens II) og banker (Basel, Basel II, Basel III).

Standarder innen risikostyring sørger for forening av:

Terminologien som brukes på dette området;

Komponenter i risikostyringsprosessen;

Tilnærminger til å bygge en organisasjonsstruktur for risikostyring.

Til tross for forening av terminologier utført innenfor hver risikostyringsstandard, er metodene og målene for risikostyring forskjellige i forskjellige standarder. I fig. 3 presenterer nasjonale og internasjonale standarder, hvis terminologi er minimalt forskjellig. Når du prøver å kombinere ulike standarder forvirring er mulig, siden definisjonen av grunnleggende termer er annerledes.

Standard "Risikostyring av organisasjoner. Integrated Model", utviklet av Committee of Sponsoring Organizations of the Treadway Commission (COSO). Dette dokumentet gir et konseptuelt rammeverk for risikostyring og gir detaljerte anbefalingerå lage et bedriftsrisikostyringssystem i organisasjonen.

Organisasjonens risikostyringsprosess, slik den tolkes av COSO, består av åtte sammenhengende komponenter:

1) bestemmelse av det indre miljøet;

2) sette mål;

3) definisjon (identifikasjon) av risikohendelser;

4) risikovurdering;

5) respons på risiko;

6) kontroller;

7) informasjon og kommunikasjon;

8) overvåking.

I forhold til å definere komponentene i risikostyringsprosessen, følger det aktuelle dokumentet den forståelsen av prosessen som allerede er etablert i risikostyringsstandardene.

Ris. 4 – COSO CUBE.

I praksis i verden etablerer standarden, kalt «COSO-kuben» (fig. 4), forholdet mellom målene til organisasjonen (strategiske, operasjonelle mål, rapportering og overholdelse av lovgivning), organisasjonsstrukturen til selskapet (nivåer av selskapet, divisjonen, forretningsenheten, datterselskapet) og de allerede identifiserte komponentene i risikostyringsprosessen.

1. Indre miljø

Legger grunnlaget for en risikostyringstilnærming. Inkluderer:

styret;

Risikostyringsfilosofi;

Risikoappetitt;

Ærlighet og etiske verdier;

Viktigheten av kompetanse;

Organisasjonsstruktur;

Delegering av fullmakter og fordeling av ansvar;

Standarder for personalledelse.

2. Sette mål

Mål må defineres før ledelsen begynner å identifisere hendelser som kan påvirke deres oppnåelse.

Selskapets ledelse har en riktig organisert prosess for å velge og sette mål, og disse målene samsvarer med organisasjonens oppdrag og nivået på risikoviljen.

3. Risikovurdering

Risikoer analyseres basert på sannsynligheten for at de inntreffer og virkningen for å avgjøre hvilke tiltak som må iverksettes for å håndtere dem.

Risikoer vurderes i forhold til iboende og gjenværende risiko.

4. Identifiser potensielle hendelser

Interne og eksterne hendelser som har innvirkning på oppnåelsen av organisasjonens mål bør identifiseres i form av risiko eller muligheter.

Muligheter må tas i betraktning av ledelsen ved utforming av strategi og målsetting.

5. Risikorespons

Ledelsen velger en risikoresponsmetode:

Unnvikelse;

Godkjennelse;

Avslå;

Kringkaste.

De utviklede tiltakene gjør det mulig å bringe den identifiserte risikoen i tråd med akseptabelt risikonivå og risikovilje i organisasjonen.

6. Kontrollprosedyrer

Retningslinjer og prosedyrer er utformet og etablert for å gi "rimelig" sikkerhet for at risikoen som er involvert blir reagert effektivt og i tide.

7. Informasjon og kommunikasjon

Nødvendig informasjon definert, registrert og kommunisert i en form og tidsramme som gjør ansatte i stand til å utføre sitt ansvar.

Effektiv utveksling av informasjon innad i organisasjonen vertikalt og horisontalt.

8. Overvåking

Hele risikostyringsprosessen i organisasjonen overvåkes og justeres etter behov.

Overvåking utføres som en del av ledelsens løpende aktiviteter eller gjennom periodiske vurderinger.

Federation of European Risk Management Associations (FERMA) Risk Management Standard er en felles utvikling av Institute of Risk Management (IRM), Association for Risk Management and Insurance (AIRMIC) og National Forum on Risk Management in the Public Sector (ALARM) ) (2002).

I motsetning til COSO ERM-standarden diskutert ovenfor, når det gjelder terminologien som brukes, følger denne standarden tilnærmingen som er vedtatt i dokumentene til International Organization for Standardization (ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in standards) . Spesielt er risiko definert av standarden som «kombinasjonen av sannsynligheten for en hendelse og dens konsekvenser» (fig. 4).

Ris. 5 – Risikostyringsprosess i henhold til FERMA-standarder.

Risikostyring anses som en sentral del av den strategiske ledelsen av en organisasjon, hvis oppgave er å identifisere og håndtere risikoer. Det bemerkes at risikostyring som et enhetlig risikostyringssystem bør inkludere et program for å overvåke gjennomføringen av tildelte oppgaver, vurdere effektiviteten av pågående aktiviteter, samt et insentivsystem på alle nivåer i organisasjonen.

I samsvar med FERMA-standarden skilles det mellom fire grupper av organisatoriske risikoer: strategisk, operasjonell og finansiell, samt farerisiko.

I tillegg inneholder dokumentet:

1. Kort beskrivelse nøkkelstadier i risikostyringsprosessen, der den vekker oppmerksomhet detaljert beskrivelse krav til detaljert informasjon i risikorapporter avhengig av forbrukeren av denne informasjonen (blant forbrukere av interne rapporter - styret i selskapet, dets separate strukturelle enhet, en spesifikk ansatt i organisasjonen; eksterne rapporter - eksterne kontraktører av organisasjonen) . Spesielt bør en rapport om selskapets risiko for eksterne brukere av informasjon inneholde en beskrivelse av:

Metoder for internkontrollsystemet, nemlig egenskapene til ansvarsområdene til organisasjonens ledelse i spørsmål om risikostyring;

Metoder for å identifisere risikoer og deres praktiske anvendelse i organisasjonens gjeldende risikostyringssystem;

Hovedverktøyene i internkontrollsystemet i forhold til de viktigste risikoene;

Eksisterende mekanismer for overvåking og sporing av risiko.

2. Beskrivelse av organisasjonsstrukturen for risikostyring (styre - strukturell enhet - risikoansvarlig), samt grunnleggende krav til utvikling av regulatoriske dokumenter innen risikostyring på bedriftsnivå (Organizational Risk Management Program) .

Vedlegget til standarden gir eksempler på risikoanalysemetoder og teknologier som brukes i praksis. Eksperter anerkjenner Risk Management Standard of Australia og New Zealand som en av de mest omfattende og utviklede nasjonale standardene innen risikostyring. AS/NZS 4360-standarden er av generell (ikke-industriell) karakter, dens hovedbestemmelser er tilpasset konstruksjon av risikostyringssystemer av en rekke transnasjonale selskaper.

Ris. 6 – Risikostyringsprosess i henhold til AS/NZS 4360

I følge Standard AS/NZS 4360 er risikostyring på selskapsnivå et sett med fem sekvensielle stadier og to ende-til-ende-prosesser (fig. 6). Samtidig er risikostyring i standarden forstått som "et sett med kultur, prosesser og strukturer fokusert på å bruke potensielle muligheter og samtidig håndtere negative effekter."

Trinn 1. Definisjon av miljø (miljø)

Blant faktorene som bestemmer behovet for å analysere og identifisere det interne miljøet i selskapet, bør følgende fremheves:

Risikostyring må utføres i sammenheng med organisasjonens definerte mål og målsettinger;

En av selskapets hovedrisikoer er forekomsten av hindringer i prosessen med å nå sine strategiske, operasjonelle, prosjekt- og andre mål;

En klar formulering av prinsippene for organisasjonspolitikk og selskapets mål vil bidra til å bestemme hovedretningene for selskapets politikk innen risikostyring;

Mål og mål for selskapet etter segmenter av aktivitet, samt mål dannet under implementeringen av individuelle bedriftsprosjekter, må vurderes i samsvar med selskapets målsettinger som helhet. Som en del av risikostyringsstadiet som vurderes, bestemmer de også utvalget av målytelsesindikatorer, setter sammen en liste over elementer i selskapets strategi, parametere for dets funksjon som vil bli påvirket av risikostyringsprosesser, og sikrer en balanse mellom mulige kostnader og fordeler (det såkalte stadiet for å identifisere risikostyringsmiljøet). De nødvendige ressursene og regnskapsprosedyrene bør også bestemmes.

Trinn 2. Risikoidentifikasjon

På dette stadiet bør risikoer på grunn av egenskapene til det ytre og indre miljøet som ble analysert på forrige stadium identifiseres: alle mulige risikokilder vurderes, samt tilgjengelig informasjon om risikooppfatning (risikobevissthet) hos de involverte partene, både internt i organisasjonen og eksternt. Spesielle krav presenteres i forhold til kvaliteten på informasjonen (høyest mulig nivå av relevans, fullstendighet, nøyaktighet og aktualitet gitt de tilgjengelige ressursene for å skaffe den) og dens kilder. Det er viktig at personell involvert i risikoidentifikasjon har full kunnskap om prosessene eller aktivitetene som analyseres. Sistnevnte krever deltakelse denne prosessen spesielle arbeidsgrupper sammensatt av eksperter fra ulike felt.

Trinn 3. Risikoanalyse

Resultatet av å bestå det aktuelle stadiet er fastsettelse av risikonivået, som reflekterer vurderinger av konsekvensene og sannsynligheten for risikohendelser. Kvantitativ og kvalitativ analyse benyttes. Verdien og virkningen av kvalitativ analyse økes betraktelig når definisjonen av risiko formes av et bredt spekter av interessenter.

Trinn 4. Risikovurdering

Oppgaven på dette stadiet er å ta en beslutning om akseptabiliteten/uakseptabiliteten av risikoen (i forhold til den akseptable risikoen, blir ikke risikobehandlingsprosedyrene fastsatt i trinn 5 av risikostyringsprosessen som vurderes brukt).

Risikovurdering innebærer å studere kontrollnivåene for en risikohendelse, kostnadene ved å implementere påvirkningen, og de potensielle kostnadene og fordelene forbundet med risikohendelsen. Resultatene av ekspertenes arbeid på dette stadiet kan kreve en revisjon av risikokriteriene som ble etablert i den første fasen av prosessen (dermed oppgaven med å sikre at alle vesentlige risikoer faller inn under analysens omfang er løst).

Trinn 5: Risikobehandling

På dette stadiet arbeides det med vurderte og rangerte risikoer, i forhold til hvilke det er tatt en beslutning om deres uakseptabilitet/uakseptabelt for selskapet i henhold til kriteriene fastsatt i de innledende stadier av risikostyringsprosessen som vurderes. Alternative alternativer risikobehandling:

Unngåelse av risiko, utført enten ved å avslutte aktiviteter knyttet til et uakseptabelt risikonivå for bedriften, eller ved å velge andre, mer akseptable aktivitetsområder som oppfyller organisasjonens mål, eller ved å velge en alternativ, mindre risikofylt metodikk ift. organiseringen av den aktuelle prosessen eller aktiviteten.

Redusere sannsynligheten for at en risikohendelse inntreffer og (eller) mulige konsekvenser implementering; Det er viktig å tenke på at det må finnes en balanse mellom risikonivå og kostnadene knyttet til å redusere risikoen til et gitt nivå. Når utviklede tilnærminger for å redusere risiko klassifiseres som berettigede, samtidig som de har høye implementeringskostnader, nødvendige kostnader krever budsjettering. Prosedyrene som anbefales under dette alternativet er: kontroll; prosessforbedring; opplæring og utvikling av personalet; revisjon og fastsettelse av etterlevelse av etablerte regler.

Dele risiko med tredjeparter. Det må tas i betraktning at overdrageren står overfor en ny risiko knyttet til organisasjonens manglende evne til å akseptere risikoen til å håndtere den effektivt.

Risikooppbevaring. Dette alternativet gjelder gjenværende og uoppdagede risikoer.

Konklusjon

Til tross for forskjeller i mål og metoder for risikostyring, bekrefter hver standard behovet for kontinuitet i risikoovervåking og kontrollprosesser.

Risikovurdering er en integrert del av risikostyring, som innebærer en strukturert prosess for å identifisere hvilke organisasjonsmål som kan påvirkes av risiko. Risikovurdering brukes til å analysere risikoer med tanke på konsekvenser og deres sannsynlighet, før organisasjonen bestemmer seg for videre tiltak, om nødvendig.

Risikovurderinger gir beslutningstakere og ansvarlige parter en klar forståelse av risikoene som kan påvirke måloppnåelsen, samt informasjon om tilstrekkeligheten og effektiviteten av kontrollene. Standarden gir grunnlag for å bestemme den mest hensiktsmessige tilnærmingen og vil bli brukt til å ta beslutninger for spesifikke risikoer, samt valg mellom ulike alternativer.

Å velge en spesifikk standard som den viktigste for en virksomhet er noen ganger en seriøs oppgave, en organisasjon bruker flere standarder samtidig, noe som fører til usikkerhet i risikostyringsprosesser. Valget av en risikostyringsstandard eller dens balanserte utvidelse krever en detaljert forståelse av kravene til hver standard og metoder for deres praktiske anvendelse (implementering), og avhenger også av modenhetsnivået til både risikostyringsprosesser og styringsprosesser. informasjonsteknologi organisasjoner.

Liste over brukt litteratur.

1. GOST 1.1-2002 "Interstate standardiseringssystem. Begreper og definisjoner."

2. GOST R 51897 – 2002 “Risikohåndtering. Begreper og definisjoner."

3. Organisatorisk risikostyring. Integrert modell. COSO-sammendrag, 2004.

4. Organisatorisk risikostyring. Integrert modell // “Risk Management”, nr. 5–6, 7–8, 9–10, 11–12, 2007; 1–2, 2008.

5. Risikostyringsstandarder fra Federation of European Associations of Risk Managers, 2003.

6. J. Philopoulos. Politikkutforming og institusjonelt rammeverk for risikovurdering i EU. Anbefalinger for å lage et risikovurderingssystem i landet.

7. AS/NZS 4360:2004 - Risk Management, utstedt av Standards Australia.121

8. CSA (1997) Risk Management: Guideline for Decision-Makers – A National Standard of Canada / Canadian Standards Association (1997 bekreftet 2002) CAN/CSA-Q850-97.

9. Utkast til internasjonal standard ISO/DIS 31000 "Risikostyring – prinsipper og retningslinjer for implementering", ISO, 2008.

10. Kevin W. Knight. Risikostyring – en reise, ingen destinasjon. januar 2006.

11. Kevin W. Knight. Risikostyring: en integrert del av virksomhetsstyring og god ledelse. ISO Bulletin, oktober 2003.

12. Marc Saner. Informasjonskort om internasjonale risikostyringsstandarder. Institute On Governance, Canada, 30. november 2005.

13. Enterprise Risk Management – ​​Integrated Framework Executive Summary.-Committee of Sponsoring Organization of the Treadway Commission (COSO), 2004.

14. GOST R 51898-2002 Sikkerhetsaspekter. Regler for inkludering i standarder.


Relatert informasjon.




Vi anbefaler å lese



Relaterte innlegg