Управление рисками предприятия

Бизнес-методы и процессы

Управление рисками предприятия ( ERM ) в бизнесе включает методы и процессы, используемые организациями для управления рисками и использования возможностей, связанных с достижением их целей. ERM обеспечивает структуру для управления рисками , которая обычно включает в себя выявление конкретных событий или обстоятельств, имеющих отношение к целям организации (угрозы и возможности), оценку их с точки зрения вероятности и величины воздействия, определение стратегии реагирования и мониторинг процесса. Выявляя и проактивно устраняя риски и возможности, предприятия защищают и создают ценность для своих заинтересованных сторон, включая владельцев, сотрудников, клиентов, регулирующие органы и общество в целом.

ERM также можно описать как подход к управлению предприятием, основанный на оценке риска, объединяющий концепции внутреннего контроля , Закон Сарбейнса-Оксли , защиту данных и стратегическое планирование . ERM развивается для удовлетворения потребностей различных заинтересованных сторон, которые хотят понимать широкий спектр рисков, с которыми сталкиваются сложные организации, чтобы обеспечить их надлежащее управление. Регуляторы и рейтинговые агентства усилили контроль за процессами управления рисками компаний.

По словам Томаса Стэнтона из Университета Джонса Хопкинса, цель управления рисками предприятия заключается не в создании большей бюрократии, а в содействии обсуждению того, какие риски действительно велики. ^[1]

Определены структуры ERM

Существуют различные важные структуры ERM, каждая из которых описывает подход к выявлению, анализу, реагированию и мониторингу рисков и возможностей во внутренней и внешней среде, с которой сталкивается предприятие. Руководство выбирает стратегию реагирования на риски для конкретных выявленных и проанализированных рисков, которая может включать:

1. Избегание: выход из деятельности, которая приводит к риску
2. Сокращение: принятие мер по снижению вероятности или воздействия, связанного с риском.
3. Альтернативные действия: принятие решения и рассмотрение других возможных шагов для минимизации рисков
4. Разделить или застраховать: передача или разделение части риска для его финансирования
5. Принять: никаких действий не предпринимается из-за решения о соотношении затрат и выгод.

Мониторинг обычно осуществляется руководством в рамках мероприятий внутреннего контроля, таких как рассмотрение аналитических отчетов или заседания руководящего комитета с соответствующими экспертами, чтобы понять, как работает стратегия реагирования на риски и достигаются ли поставленные цели.

Структура общества актуарного страхования по несчастным случаям

В 2003 году Общество актуариев по страхованию от несчастных случаев (CAS) определило ERM как дисциплину, с помощью которой организация в любой отрасли оценивает, контролирует, использует, финансирует и отслеживает риски из всех источников с целью увеличения краткосрочной и долгосрочной ценности организации для ее заинтересованных сторон». ^[2] CAS концептуализировало ERM как процесс, проходящий через два измерения типа риска и процессов управления рисками. ^[2] Типы рисков и примеры включают в себя: ^[3]

Риск опасности

Ответственность за правонарушения, Имущественный ущерб, Стихийные бедствия

Финансовый риск

Риск ценообразования, риск активов, валютный риск, риск ликвидности

Операционный риск

Удовлетворенность клиентов, Несостоятельность продукта, Целостность, Репутационный риск; Внутреннее переманивание; Утечка знаний

Стратегические риски

Конкуренция, Социальная тенденция, Доступность капитала

Процесс управления рисками включает в себя: ^[4]

1. Установление контекста: сюда входит понимание текущих условий, в которых функционирует организация, с точки зрения внутреннего и внешнего контекста, а также контекста управления рисками.
2. Выявление рисков: сюда входит документирование существенных угроз достижению организацией своих целей и представление областей, которые организация может использовать для получения конкурентного преимущества.
3. Анализ/количественная оценка рисков: сюда входит калибровка и, если возможно, создание распределений вероятностей результатов для каждого существенного риска.
4. Интеграция рисков: включает в себя агрегацию всех распределений рисков, отражающих корреляции и эффекты портфеля, а также формулировку результатов с точки зрения влияния на ключевые показатели эффективности организации.
5. Оценка/приоритизация рисков: сюда входит определение вклада каждого риска в совокупный профиль риска и соответствующая приоритизация.
6. Обработка/использование рисков: сюда входит разработка стратегий контроля и использования различных рисков.
7. Мониторинг и обзор: сюда входит постоянное измерение и мониторинг среды риска и эффективности стратегий управления рисками.

Структура COSO ERM

В документе COSO « Интегрированная структура управления рисками предприятия», опубликованном в 2004 году (новое издание COSO ERM 2017 не упоминается, а версия 2004 года устарела), ERM определяется как «…процесс, осуществляемый советом директоров, руководством и другим персоналом организации, применяемый при разработке стратегии и в масштабах всего предприятия, предназначенный для выявления потенциальных событий, которые могут повлиять на организацию, и управления рисками в рамках ее готовности к риску , чтобы обеспечить разумную уверенность в достижении целей организации». ^[5]

COSO ERM Framework имеет восемь компонентов и четыре категории целей. Это расширение COSO Internal Control -Integrated Framework, опубликованного в 1992 году и измененного в 1994 году. Восемь компонентов:

• Внутренняя среда
• Постановка цели
• Идентификация событий
• Оценка риска
• Реагирование на риски
• Контрольные мероприятия
• Информация и коммуникация
• Мониторинг

Четыре категории целей (выделены дополнительные компоненты):

• Стратегия — цели высокого уровня, соответствующие миссии организации и поддерживающие ее.
• Операции – эффективное и действенное использование ресурсов
• Финансовая отчетность - надежность операционной и финансовой отчетности
• Соблюдение - соблюдение действующих законов и правил

ISO 31000: новый международный стандарт управления рисками

ISO 31000 — это международный стандарт управления рисками, опубликованный 13 ноября 2009 года и обновленный в 2018 году. Вскоре после публикации (1 декабря 2009 года) был опубликован сопутствующий стандарт ISO 31010 — Методы оценки рисков вместе с обновленным словарем по управлению рисками ISO Guide 73. В стандарте изложены восемь принципов, основанных на центральной цели — создании и защите ценностей. ^[6]

Внедрение программы ERM

Цели программы ERM

Организации по своей природе управляют рисками и имеют множество существующих отделов или функций («функции риска»), которые идентифицируют и управляют определенными рисками. Однако каждая функция риска различается по возможностям и тому, как она координируется с другими функциями риска. Центральной целью и задачей ERM является улучшение этих возможностей и координации, при этом интегрируя результаты для предоставления единой картины риска для заинтересованных сторон и улучшения способности организации эффективно управлять рисками.

Типичные функции риска

Основные функции риска в крупных корпорациях, которые могут участвовать в программе ERM, обычно включают:

• Стратегическое планирование — определяет внешние угрозы и конкурентные возможности, а также стратегические инициативы по их устранению.
• Маркетинг — понимание целевого клиента для обеспечения соответствия продукта/услуги требованиям клиента.
• Соблюдение норм и этика — контролирует соблюдение кодекса поведения и руководит расследованиями случаев мошенничества.
• Бухгалтерский учет/Финансовое соответствие — руководит оценкой по разделам 302 и 404 Закона Сарбейнса-Оксли, которая выявляет риски финансовой отчетности.
• Юридический отдел — управляет судебными разбирательствами и анализирует новые правовые тенденции, которые могут повлиять на организацию.
• Страхование - обеспечивает надлежащее страховое покрытие для организации.
• Казначейство — обеспечивает наличие достаточного количества денежных средств для удовлетворения потребностей бизнеса, одновременно управляя рисками, связанными с ценообразованием на сырьевые товары или курсом иностранной валюты.
• Контроль качества операционных процессов — проверка соответствия операционных результатов допускам.
• Управление операциями — обеспечивает повседневную работу предприятия и выявляет сопутствующие препятствия для их устранения.
• Кредит - гарантирует, что любой кредит, предоставляемый клиентам, соответствует их платежеспособности.
• Обслуживание клиентов — обеспечивает оперативное рассмотрение жалоб клиентов и передачу основных причин для устранения неполадок в операционный отдел.
• Внутренний аудит — оценивает эффективность каждой из вышеперечисленных функций управления рисками и рекомендует улучшения.
• Корпоративная безопасность — выявляет, оценивает и снижает риски, связанные с физическими и информационными угрозами безопасности.

Распространенные проблемы при внедрении ERM

Различные консалтинговые фирмы предлагают предложения по внедрению программы ERM. ^[7] Распространенные темы и проблемы включают: ^[8]

• Определение руководителей-спонсоров ERM.
• Создание общего языка или глоссария рисков.
• Описание готовности организации к риску (т.е. рисков, на которые она пойдет и не пойдет)
• Выявление и описание рисков в «инвентаре рисков».
• Внедрение методологии ранжирования рисков для определения приоритетности рисков внутри функций и между ними.
• Создание комитета по рискам и/или главного специалиста по рискам (CRO) для координации определенных видов деятельности функций управления рисками.
• Установление ответственности за конкретные риски и меры реагирования.
• Демонстрация экономической эффективности усилий по управлению рисками.
• Разработка планов действий для обеспечения надлежащего управления рисками.
• Разработка консолидированной отчетности для различных заинтересованных сторон.
• Мониторинг результатов действий, предпринятых для снижения риска.
• Обеспечение эффективного покрытия рисков внутренними аудиторами, консультационными группами и другими оценочными организациями.
• Разработка технической структуры ERM, обеспечивающей безопасное участие третьих лиц и удаленных сотрудников.

Роль внутреннего аудита

В дополнение к аудиту информационных технологий внутренние аудиторы играют важную роль в оценке процессов управления рисками организации и отстаивают их постоянное совершенствование. Однако, чтобы сохранить свою организационную независимость и объективность суждений, профессиональные стандарты внутреннего аудита указывают, что функция не должна брать на себя какую-либо прямую ответственность за принятие решений по управлению рисками для предприятия или управление функцией управления рисками. ^[9]

Внутренние аудиторы обычно проводят ежегодную оценку рисков предприятия, чтобы разработать план аудиторских заданий на предстоящий год. Этот план на практике обновляется с различной частотой. Обычно это включает обзор различных оценок рисков, выполненных предприятием (например, стратегических планов, конкурентного бенчмаркинга и оценки рисков SOX 404 сверху вниз ), рассмотрение предыдущих аудитов и интервью с различными представителями высшего руководства. Он предназначен для определения аудиторских проектов, а не для определения, приоритизации и управления рисками непосредственно для предприятия.

Текущие проблемы в ERM

Процессы управления рисками корпораций по всему миру находятся под все более пристальным вниманием со стороны регулирующих органов и частных лиц. Риск является неотъемлемой частью любого бизнеса. При правильном управлении он стимулирует рост и возможности. Руководители борются с деловыми давлениями, которые могут быть частично или полностью вне их непосредственного контроля, такими как проблемные финансовые рынки; слияния, поглощения и реструктуризации; разрушительные технологические изменения; геополитическая нестабильность; и рост цен на энергоносители.

Требования Закона Сарбейнса-Оксли

Раздел 404 Закона Сарбейнса-Оксли 2002 года требовал от американских публичных корпораций использовать структуру контроля при оценке внутреннего контроля. Многие выбрали структуру внутреннего контроля COSO , которая включает элемент оценки риска. Кроме того, новое руководство, выпущенное Комиссией по ценным бумагам и биржам (SEC) и Советом по надзору за бухгалтерским учетом публичных компаний в 2007 году, уделило больше внимания оценке риска сверху вниз и включило конкретное требование о проведении оценки риска мошенничества . ^[10] Оценки риска мошенничества обычно включают определение сценариев потенциального (или имевшего место) мошенничества, связанного с этим воздействия на организацию, связанных средств контроля и любых действий, предпринятых в результате.

Правила корпоративного управления NYSE

Нью -Йоркская фондовая биржа требует, чтобы аудиторские комитеты ее листинговых компаний «обсуждали политику в отношении оценки и управления рисками ». Соответствующий комментарий продолжается: «Хотя работа генерального директора и высшего руководства заключается в оценке и управлении подверженностью компании риску, аудиторский комитет должен обсуждать руководящие принципы и политику для управления процессом, с помощью которого это обрабатывается. Аудиторский комитет должен обсуждать основные финансовые риски компании и шаги, предпринятые руководством для мониторинга и контроля таких рисков. Аудиторский комитет не обязан быть единственным органом, ответственным за оценку и управление рисками, но, как указано выше, комитет должен обсуждать руководящие принципы и политику для управления процессом, с помощью которого осуществляется оценка и управление рисками. Многие компании, особенно финансовые компании, управляют и оценивают свои риски с помощью механизмов, отличных от аудиторского комитета. Процессы, которые имеют место в этих компаниях, должны быть рассмотрены в общем порядке аудиторским комитетом, но они не должны быть заменены аудиторским комитетом». ^[11]

ERM и рейтинги корпоративного долга

Standard & Poor's (S&P), рейтинговое агентство по долговым обязательствам, планирует включить ряд вопросов об управлении рисками в процесс оценки компаний. Это будет внедрено в финансовые компании в 2007 году. ^[12] Результаты этого исследования являются одним из многих факторов, учитываемых при оценке долга, что оказывает соответствующее влияние на процентные ставки, которые кредиторы взимают с компаний за кредиты или облигации. ^[13] 7 мая 2008 года S&P также объявило, что начнет включать оценку ERM в свои рейтинги нефинансовых компаний, начиная с 2009 года, ^[14] с первоначальными комментариями в своих отчетах в течение четвертого квартала 2008 года. ^[15]

Стандарты эффективности МФК

Стандарты деятельности Международной финансовой корпорации ^[16] сосредоточены на управлении рисками и воздействиями в области здравоохранения, безопасности, охраны окружающей среды и социальных вопросов. Третье издание было опубликовано 1 января 2012 года после двухлетнего процесса переговоров с частным сектором, правительствами и организациями гражданского общества. Они были приняты банками Equator Principles Banks, консорциумом из более чем 118 коммерческих банков в 37 странах.

Конфиденциальность данных

Правила конфиденциальности данных, такие как Общий регламент по защите данных Европейского союза , все чаще предусматривают существенные штрафы за неспособность обеспечить адекватную защиту персональных данных лиц, таких как имена, адреса электронной почты и персональная финансовая информация, или оповестить затронутых лиц о нарушении конфиденциальности данных. Регламент ЕС требует, чтобы любая организация, включая организации, расположенные за пределами ЕС, назначала должностное лицо по защите данных, подчиняющееся высшему уровню руководства ^[17], если они обрабатывают персональные данные лиц, проживающих в ЕС.

Актуарный ответ

Общество страховщиков несчастных случаев

В 2003 году Комитет по управлению рисками предприятий Общества актуариев по страхованию от несчастных случаев (CAS) опубликовал свой обзор ERM. ^[18] В этой статье изложены эволюция, обоснование, определения и рамки ERM с точки зрения актуариев по страхованию от несчастных случаев, а также включен словарь, концептуальные и технические основы, фактическая практика и приложения, а также тематические исследования. ^[18]

CAS имеет конкретные заявленные цели ERM, включая то, чтобы быть «ведущим международным поставщиком образовательных материалов, касающихся управления рисками предприятия (ERM) в сфере страхования имущества от несчастных случаев» ^[19], и спонсирует исследования, разработки и обучение актуариев по страхованию от несчастных случаев в этой области. ^[20] CAS воздержался от выдачи собственных удостоверений; вместо этого в 2007 году Правление CAS постановило, что CAS должен участвовать в инициативе по разработке глобального обозначения ERM и принять окончательное решение позднее. ^[21]

Общество актуариев

В 2007 году Общество актуариев разработало квалификацию Chartered Enterprise Risk Analyst (CERA) в ответ на растущую область управления корпоративными рисками. ^[22] Это первая новая профессиональная квалификация, введенная SOA с 1949 года. ^[23] CERA изучает, как различные риски, включая операционные, инвестиционные, стратегические и репутационные, объединяются, чтобы повлиять на организации. CERA работают в средах за пределами страхования, перестрахования и консалтинговых рынков, включая более широкие финансовые услуги, энергетику, транспорт, медиа, технологии, производство и здравоохранение. ^[23]

Требуется приблизительно три-четыре года, чтобы закончить учебную программу CERA, которая объединяет базовую актуарную науку, принципы ERM и курс по профессионализму. Чтобы получить сертификат CERA, кандидаты должны сдать пять экзаменов, выполнить требования по образовательному опыту, пройти один онлайн-курс и посетить один очный курс по профессионализму. ^[23]

CERA Global

Первоначально все CERA были членами Общества актуариев ^[24], но в 2009 году звание CERA стало международным специализированным профессиональным удостоверением, присуждаемым и регулируемым несколькими актуарными органами; ^[25] например, дипломированный актуарий по оценке рисков предприятий от Института и факультета актуариев .

Смотрите также

• Актуарная наука
• Airmic
• Базель III
• Риск выгоды
• Комитет организаций-спонсоров Комиссии Тредвея
• Риск затрат
• Кредитный риск
• Управление финансовыми рисками § Корпоративные финансы
• Управление качеством информации
• ИСО 31000
• Рыночный риск и стратегическое планирование
• Управление операционными рисками
• Оптимистический уклон
• Учет рисков
• Доходность капитала с поправкой на риск
• Аппетит к риску
• Инструменты управления рисками
• РискЛаб
• ISA 400 Оценка рисков и внутренний контроль
• Оценка риска сверху вниз SOX 404
• Три линии обороны
• Полное управление безопасностью
• Управление присутствием в Интернете
• Модель Гордона-Лёба для инвестиций в кибербезопасность
• Сертификаты:
  • Сертифицированный специалист по управлению рисками ( Институт управления рисками )
  • Сертифицированный актуарий по оценке рисков предприятий ( Институт и факультет актуариев )
  • Сертифицированный аналитик рисков предприятий ( Общество актуариев )

Ссылки

1. Томас Стэнтон (18 февраля 2017 г.). «Управление рисками предприятия». YouTube . TEDxJHUDC. Весь смысл управления рисками предприятия заключается не в создании еще одного уровня бюрократии, а в том, чтобы ваш директор по рискам способствовал проведению бесед и обсуждений приоритетов — с какими действительно большими рисками нам придется бороться.
2. Комитет по управлению рисками предприятия (май 2003 г.). "Обзор управления рисками предприятия" (PDF) . Casualty Actuarial Society : 8. Получено 15.09.2008 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
3. Комитет по управлению рисками предприятия (май 2003 г.). "Обзор управления рисками предприятия" (PDF) . Casualty Actuarial Society : 9–10 . Получено 15 сентября 2008 г. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
4. Комитет по управлению рисками предприятия (май 2003 г.). "Обзор управления рисками предприятия" (PDF) . Casualty Actuarial Society : 11–13 . Получено 15.09.2008 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
5. "Управление рисками предприятия — интегрированная структура: краткое изложение" (PDF) . Комитет организаций-спонсоров Комиссии Тредвея . Сентябрь 2004 г. Архивировано из оригинала (PDF) 2016-11-03 . Получено 2008-09-16 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
6. Хопкин, Пол (2022). Основы управления рисками: понимание, оценка и внедрение эффективного управления рисками предприятия. Клайв Томпсон (6-е изд.). Лондон. ISBN 978-1-3986-0286-1. OCLC  1300754988.{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )
7. Советы по внедрению ERM
8. Часто задаваемые вопросы ERM
9. Роль внутреннего аудита в ERM Архивировано 05.09.2013 на Wayback Machine
10. Стандарт аудита PCAOB № 5. Архивировано 27 июня 2007 г. на Wayback Machine.
11. "NYSE Listing Standards Part 7d" (PDF) . Архивировано из оригинала (PDF) 2014-06-11 . Получено 2017-08-27 .
12. Рейтинги S&P - Казначейство и риск Статья Архивировано 28.09.2007 в Wayback Machine
13. S&P ERM для финансовых учреждений
14. Часто задаваемые вопросы о S&P ERM
15. Объявление S&P ERM
16. «Стандарт производительности 1».
17. "Отчет об управлении киберрисками FERMA ECIIA | Ferma". www.ferma.eu . Получено 01.10.2018 .
18. Комитет по управлению рисками предприятия (май 2003 г.). "Обзор управления рисками предприятия" (PDF) . Casualty Actuarial Society . Получено 2008-09-15 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
19. "ERM SAM Goals" (PDF) . CAS Centennial Goal и SAM Goals . Casualty Actuarial Society . Март 2008 г. Архивировано из оригинала (PDF) 2020-05-14 . Получено 2008-09-15 .
20. "Enterprise Risk Management Web Site". Casualty Actuarial Society . 2008. Архивировано из оригинала 2020-08-15 . Получено 2008-09-15 .
21. "Executive Summary: CAS Board of Directors Meeting" (PDF) . Casualty Actuarial Society . 17 июня 2007 г. Архивировано из оригинала (PDF) 27 июня 2010 г. Получено 2008-09-15 .
22. "Обзор полномочий". Общество актуариев . 2008. Получено 15 сентября 2008 г.
23. "CERA Fast Facts". Общество актуариев . 2008. Получено 15 сентября 2008 г.
24. "Benefits". Общество актуариев . 2008. Получено 15 сентября 2008 г.
25. "Договор CERA". CERA Global. 2009. Архивировано из оригинала 2015-01-12 . Получено 2015-01-12 .

Внешние ссылки

• Томас Стэнтон (18 февраля 2017 г.). «Управление рисками предприятия». YouTube . TEDxJHUDC.
• Airmic / Alarm / IRM (2010) «Структурированный подход к управлению рисками предприятия (ERM) и требования ISO 31000»
• Хопкин, Пол «Основы управления рисками. 2-е издание» Коган-Пейдж (2012) ISBN 978-0-7494-6539-1