Управление рисками предприятия

Управление рисками предприятия (ERM ) в бизнесе включает методы и процессы, используемые организациями для управления рисками и использования возможностей, связанных с достижением своих целей. ERM обеспечивает основу для управления рисками, которая обычно включает в себя определение конкретных событий или обстоятельств, имеющих отношение к целям организации (угроз и возможностей), их оценку с точки зрения вероятности и величины воздействия, определение стратегии реагирования и процесс мониторинга. Выявляя и проактивно устраняя риски и возможности, коммерческие предприятия защищают и создают ценность для своих заинтересованных сторон, включая владельцев, сотрудников, клиентов, регулирующие органы и общество в целом.

ERM можно также описать как основанный на оценке риска подход к управлению предприятием, объединяющий концепции внутреннего контроля, Закон Сарбейнса – Оксли, данные защита и стратегическое планирование. ERM развивается, чтобы удовлетворить потребности различных заинтересованных сторон, которые хотят понимать широкий спектр рисков, с которыми сталкиваются сложные организации, чтобы обеспечить надлежащее управление ими. Регулирующие органы и рейтинговые агентства повысили уровень контроля над процессами управления рисками компаний.

По словам Томаса Стэнтона из Университета Джона Хопкинса, цель корпоративного управления рисками не в том, чтобы создавать больше бюрократии, а в том, чтобы облегчить обсуждение того, какие действительно большие риски.

• 1 Структуры ERM определено
  • 1.1 Структура общества актуариев по несчастным случаям
  • 1.2 Структура COSO ERM
  • 1.3 ISO 31000: новый международный стандарт управления рисками
  • 1.4 Модель зрелости рисков RIMS
• 2 Реализация программы ERM
  • 2.1 Цели программы ERM
  • 2.2 Типичные функции управления рисками
  • 2.3 Общие проблемы при внедрении ERM
  • 2.4 Роль внутреннего аудита
• 3 Текущие проблемы в ERM
  • 3.1 Требования Закона Сарбейнса-Оксли
  • 3.2 Корпоративная NYSE правила корпоративного управления
  • 3.3 ERM и рейтинги корпоративного долга
  • 3.4 Стандарты деятельности IFC
  • 3.5 Конфиденциальность данных
• 4 Актуарный ответ
  • 4.1 Общество актуариев по несчастным случаям
  • 4.2 Общество актуариев
  • 4.3 CERA Global
• 5 См. Также
• 6 Ссылки
• 7 Внешние ссылки

Есть различные важные структуры ERM, каждая из которых описывает подход к выявлению, анализу, реагированию и мониторингу рисков и возможностей во внутренней и внешней среде, с которой сталкивается предприятие. Руководство выбирает стратегию реагирования на определенные риски, выявленные и проанализированные, которые могут включать:

1. Предотвращение: прекращение деятельности, вызывающей риск
2. Снижение: принятие мер по снижению вероятности или воздействия, связанного с риском
3. Альтернативные действия: принятие решения и рассмотрение других возможных шагов для минимизации рисков
4. Разделение или страхование: передача или разделение части риска для его финансирования
5. Принять: никаких действий принято в связи с решением о затратах / выгодах

Мониторинг обычно осуществляется руководством в рамках своей деятельности по внутреннему контролю, такой как рассмотрение аналитических отчетов или встречи комитета управления с соответствующими экспертами, чтобы понять, как работает стратегия реагирования на риски и достигаются ли цели.

Структура общества актуариев по несчастным случаям

В 2003 г. Общество актуариев по несчастным случаям (CAS) определило ERM как дисциплину, с помощью которой организация в любой отрасли оценивает, контролирует, использует, финансирует и отслеживает риски из всех источников с целью увеличения краткосрочной и долгосрочной ценности организации для заинтересованных сторон ». В CAS концептуально ERM рассматривается как процесс, охватывающий два аспекта: тип риска и процессы управления рисками. Типы рисков и примеры включают:

риск риска

правонарушения, материальный ущерб, стихийные бедствия

финансовый риск

ценовой риск, риск активов, валютный риск, риск ликвидности

Операционный риск

Удовлетворенность клиентов, отказ продукта, целостность, репутационный риск; внутреннее браконьерство; утечка знаний

Стратегические риски

Конкуренция, социальная тенденция, доступность капитала

Процесс управления рисками включает:

1. Установление контекста: Это включает понимание текущего c Условия, в которых организация работает во внутреннем и внешнем контексте, а также в контексте управления рисками.
2. Выявление рисков: Это включает в себя документацию о существенных угрозах достижению организацией своих целей и представление областей, которые организация может использовать для конкурентного преимущества.
3. Анализ / количественная оценка рисков: Это включает калибровку и, если возможно, создание вероятностных распределений результатов для каждого существенного риска.
4. Интеграция рисков: Сюда входит агрегирование всех распределения рисков, отражающие корреляции и эффекты портфеля, а также формулировку результатов с точки зрения воздействия на ключевые показатели эффективности организации.
5. Оценка / определение приоритетности рисков: Это включает определение вклада каждого риска в совокупность профиль риска и соответствующая приоритезация.
6. Обработка / использование рисков: Сюда входит разработка стратегий для контроля и использования различных риски.
7. Мониторинг и анализ: Сюда входит постоянное измерение и мониторинг среды рисков и эффективности стратегий управления рисками.

Структура COSO ERM

COSO «Интегрированная система управления рисками предприятия», опубликованная в 2004 году (новая редакция COSO ERM 2017 не упоминается, а версия 2004 года устарела) определяет ERM как «… процесс, осуществляемый советом директоров, руководством и другим персоналом организации., применяется при разработке стратегии и в масштабах всего предприятия, предназначено для выявления потенциальных событий, которые могут повлиять на организацию, и управления рисками в рамках его аппетита к риску, чтобы обеспечить разумную уверенность в достижении целей организации ».

Структура COSO ERM состоит из восьми компонентов и четырех категорий целей. Это расширение интегрированной концепции внутреннего контроля COSO , опубликованной в 1992 году и измененной в 1994 году. Восемь компонентов (выделены дополнительные компоненты):

• Полномочия и залог ERM
• Политика управления рисками
• Смешение ERM в учреждении
• Оценка рисков
• Реагирование на риски
• коммуникация и отчетность
• Информация и коммуникация
• Мониторинг

Четыре категории целей (выделены дополнительные компоненты):

• Стратегия - высокоуровневые цели, согласованные с миссией организации и поддерживающие ее
• Операции - эффективные и эффективное использование ресурсов
• Финансовая отчетность - надежность операционной и финансовой отчетности
• Соответствие - соответствие применимым законам и постановлениям

ISO 31000: новый международный стандарт управления рисками

ISO 31000 - это международный стандарт управления рисками, опубликованный 13 ноября 2009 г. andard, ISO 31010 - Методы оценки рисков, вскоре после публикации (1 декабря 2009 г.) вместе с обновленным термином ISO Guide 73 по управлению рисками.

Модель зрелости рисков RIMS

Модель зрелости рисков RIMS (RMM) для управления рисками предприятия, опубликованная в 2006 году, представляет собой комплексную структуру содержания и методологии, в которой подробно описаны требования для устойчивого и эффективного управления рисками предприятия. Модель RMM состоит из двадцати пяти факторов компетентности по семи атрибутам, которые создают ценность и полезность ERM в организации. Вот семь атрибутов:

• подход, основанный на ERM
• Управление процессами ERM
• Управление аппетитом к риску
• Дисциплина первопричин
• Выявление рисков
• Управление эффективностью
• Устойчивость и устойчивость бизнеса

Модель была разработана Стивеном Мински, генеральным директором LogicManager, и опубликована Обществом управления рисками и страхованием в сотрудничестве с RIMS Комитет по ERM. Модель зрелости рисков основана на модели зрелости возможностей - методологии, основанной Институтом программной инженерии Университета Карнеги-Меллона (SEI) в 1980-х.

Цели ERM программа

Организации по своей природе управляют рисками и имеют множество существующих отделов или функций («функции риска»), которые выявляют и управляют конкретными рисками. Однако каждая функция риска различается по возможностям и тому, как она согласовывается с другими функциями риска. Основная цель и задача ERM - улучшить эти возможности и координацию, при этом интегрируя выходные данные, чтобы предоставить единую картину риска для заинтересованных сторон и улучшить способность организации эффективно управлять рисками.

Типичные функции управления рисками

Основные функции управления рисками в крупных корпорациях, которые могут участвовать в программе ERM, обычно включают:

• Стратегическое планирование - определение внешних угроз и конкурентных возможностей, а также стратегические инициативы по обращайтесь к ним
• Маркетинг - понимает целевого клиента, чтобы гарантировать соответствие продукта / услуги требованиям клиентов
• Соблюдение нормативных требований и этика - контролирует соблюдение кодекса поведения и руководит расследованиями мошенничества
• Бухгалтерский учет / Финансовое соответствие - руководит оценкой разделов 302 и 404 Сарбейнса-Оксли, которая определяет риски для финансовой отчетности
• Юридический отдел - управляет судебными процессами и анализирует возникающие правовые тенденции, которые могут повлиять на организацию
• Страхование - обеспечивает надлежащее страховое покрытие для организации
• Казначейство - гарантирует, что денежных средств достаточно для удовлетворения потребностей бизнеса, при управлении рисками, связанными с ценами на товары или обменом валюты
• Операционная квалификация Гарантия качества - подтверждает, что производственные результаты находятся в пределах допусков.
• Управление операциями - обеспечивает повседневную работу бизнеса и устранение связанных с этим препятствий для решения
• Кредит - гарантирует, что любой кредит, предоставленный клиентам, в соответствии с их платежеспособностью
• Служба поддержки клиентов - обеспечивает быстрое рассмотрение жалоб клиентов и сообщение об основных причинах их устранения
• Внутренний аудит - оценивает эффективность каждой из вышеуказанных функций управления рисками и рекомендует улучшения

Общие проблемы при внедрении ERM

Различные консалтинговые фирмы предлагают предложения по реализации программы ERM. Общие темы и проблемы включают:

• Определение спонсоров для ERM.
• Создание общего языка рисков или глоссария.
• Описание склонности к риску организации (т. Е. Рисков он будет и не будет принимать)
• Выявление и описание рисков в «инвентаризации рисков».
• Внедрение методологии ранжирования рисков для определения приоритетности рисков внутри и между функциями.
• Создание комитета по рискам и / или директора по управлению рисками (CRO) для координации определенных действий функций управления рисками.
• Установление ответственности за определенные риски и меры реагирования.
• Демонстрация рентабельность усилий по управлению рисками.
• Разработка планов действий для обеспечения надлежащего управления рисками.
• Разработка консолидированной отчетности для различных заинтересованных сторон.
• Мониторинг результатов действий приняты для снижения риска.
• Обеспечение эффективного покрытия рисков внутренними аудиторами, консультационными группами и другими оценивающими организациями.
• Разработка технической структуры ERM, которая обеспечивает безопасное участие третьих сторон и удаленных сотрудников.

Роль внутреннего аудита

Помимо аудита информационных технологий, внутренние аудиторы играют важную роль в оценка процессов управления рисками в организации и поддержка их постоянного улучшения. Однако для сохранения своей организационной независимости и объективных суждений профессиональные стандарты внутреннего аудита указывают на то, что подразделение не должно нести никакой прямой ответственности за принятие решений по управлению рисками для предприятия или за управление функцией управления рисками.

Обычно выполняют внутренние аудиторы. ежегодная оценка рисков предприятия для разработки плана аудиторских заданий на предстоящий год. На практике этот план обновляется с разной периодичностью. Обычно это включает анализ различных оценок рисков, выполняемых предприятием (например, стратегических планов, сравнительного анализа конкурентов и нисходящую оценку рисков SOX 404 ), рассмотрение предыдущих аудитов и собеседование с различными руководителями. управление. Он предназначен для выявления проектов аудита, а не для определения, определения приоритетов и управления рисками непосредственно для предприятия.

Процессы управления рисками корпораций во всем мире подвергаются все более пристальному контролю со стороны регулирующих органов и частного сектора. Риск - неотъемлемая часть любого бизнеса. При правильном управлении он способствует росту и расширению возможностей. Руководители борются с давлением бизнеса, которое может быть частично или полностью вне их непосредственного контроля, например, проблемные финансовые рынки; слияния, поглощения и реструктуризации; революционные технологии изменение; геополитическая нестабильность; и рост цен на энергию.

Требования Закона Сарбейнса-Оксли

Раздел 404 Закона Сарбейнса-Оксли 2002 г. требовали от публично торгуемых корпораций США использовать систему контроля при оценке внутреннего контроля. Многие выбрали систему COSO внутреннего контроля, которая включает элемент оценки риска. Кроме того, в новом руководстве, выпущенном Комиссией по ценным бумагам и биржам (SEC) и PCAOB в 2007 году, повышенное внимание уделяется нисходящей оценке рисков и содержится конкретная Требование выполнить оценку риска мошенничества. Оценка риска мошенничества обычно включает выявление сценариев потенциального (или уже имевшего место) мошенничества, связанных с ними рисков для организации, соответствующих средств контроля и любых действий, предпринятых в результате.

Правила корпоративного управления NYSE

Нью-Йоркская фондовая биржа требует, чтобы комитеты по аудиту ее листинговых компаний «обсуждали политику в отношении оценки рисков и управление рисками ". Соответствующий комментарий продолжается: «Хотя работа генерального директора и высшего руководства заключается в оценке и управлении подверженностью компании риску, комитет по аудиту должен обсудить руководящие принципы и политику, регулирующие процесс, с помощью которого это обрабатывается. Комитет по аудиту должен обсудить основные финансовые риски компании и шаги, предпринятые руководством для мониторинга и контроля таких рисков. Комитет по аудиту не должен быть единственным органом, ответственным за оценку и управление рисками, но, как указано выше, комитет должен обсуждать руководящие принципы и политики для управления процессом, посредством которого осуществляется оценка и управление рисками. Многие компании, особенно финансовые компании, управляют и оценивают свой риск с помощью иных механизмов, чем комитет по аудиту. Процессы, применяемые в этих компаниях, должны быть проанализированы аудитором в целом комитет, но их не нужно заменять комитетом по аудиту ».

Рейтинги ERM и корпоративного долга

Стандартные Рейтинговое агентство d Poor's (SP) планирует включить в процесс оценки своей компании ряд вопросов об управлении рисками. Это будет распространено на финансовые компании в 2007 году. Результаты этого расследования являются одним из многих факторов, учитываемых при рейтинге долга, который оказывает соответствующее влияние на процентные ставки, которые кредиторы взимают с компаний за ссуды или облигации. 7 мая 2008 г. SP также объявило, что начнет включать оценку ERM в свои рейтинги нефинансовых компаний, начиная с 2009 г., с первоначальными комментариями в своих отчетах за 4 квартал 2008 г.

Стандарты деятельности IFC

Стандарт деятельности IFC фокусируется на управлении рисками для здоровья, безопасности, окружающей среды и социальных рисков. Третье издание было опубликовано 1 января 2012 г. после двухлетних переговоров с частным сектором, правительствами и организациями гражданского общества. Он был принят консорциумом Equator Banks, объединяющим более 90 коммерческих банков в 37 странах.

Конфиденциальность данных

Правила конфиденциальности данных, такие как Европейский союз Общие правила защиты данных, все чаще предусматривают значительные штрафы за несоблюдение адекватная защита личных данных людей, таких как имена, адреса электронной почты и личная финансовая информация, или оповещение затронутых лиц о нарушении конфиденциальности данных. Регламент ЕС требует от любой организации, включая организации, расположенные за пределами ЕС, назначить сотрудника по защите данных, подчиняющегося высшему руководству, если они обрабатывают личные данные любого человека, проживающего в ЕС.

Актуарное общество по несчастным случаям

В 2003 году Комитет по управлению рисками предприятия Актуарного общества по несчастным случаям (CAS) опубликовал свой обзор ERM. В этом документе излагаются эволюция, обоснование, определения и основы ERM с актуарной точки зрения, а также включены терминология, концептуальные и технические основы, фактическая практика и приложения, а также тематические исследования.

CAS имеет конкретные заявленные цели ERM, в том числе быть «ведущим международным поставщиком учебных материалов, касающихся управления рисками предприятия (ERM) в сфере имущественного страхования от несчастных случаев», и спонсировал исследования, разработки и обучение актуариев по несчастным случаям в этом отношении. CAS воздерживается от выдачи собственных учетных данных; вместо этого, в 2007 году Правление CAS решило, что CAS должна участвовать в инициативе по разработке глобального обозначения ERM и принять окончательное решение несколько позже.

Общество актуариев

В В 2007 году Общество актуариев разработало квалификацию дипломированного аналитика корпоративных рисков (CERA) в ответ на растущую область корпоративного управления рисками. Это первое новое профессиональное свидетельство, введенное SOA с 1949 года. Исследование CERA направлено на изучение того, как различные риски, включая операционные, инвестиционные, стратегические и репутационные, влияют на организации. CERA работают не только в сфере страхования, перестрахования и консалтинговых услуг, но и в более широких сферах финансовых услуг, энергетики, транспорта, СМИ, технологий, производства и здравоохранения.

Для завершения учебной программы CERA, которая объединяет основы актуарной науки, принципы ERM и курс профессионализма. Чтобы получить сертификат CERA, кандидаты должны сдать пять экзаменов, выполнить требования к образованию, пройти один онлайн-курс и посетить один очный курс по профессионализму.

CERA Global

Изначально все CERA были членами Общества актуариев, но в 2009 году статус CERA стал глобальным специализированным профессиональным сертификатом, присуждаемым и регулируемым несколькими актуарными органами.

• Актуарная наука
• Airmic
• Базель III
• Риск прибыли
• Комитет спонсорских организаций Комиссии Тредуэя
• Риск затрат
• Управление качеством информации
• ISO 31000
• Рыночный риск и стратегическое планирование
• Операционное управление рисками
• Оптимизм
• Рентабельность капитала с поправкой на риск
• Риск-аппетит
• Инструменты управления рисками
• RiskLab
• Оценка рисков и внутренний контроль ISA 400
• Оценка рисков сверху вниз SOX 404
• Total Security Management
• Web Presence Management

• Томас Стэнтон (18 февраля, 2017). «Управление рисками предприятия». YouTube. TEDxJHUDC.
• Airmic / Alarm / IRM (2010) «Структурированный подход к управлению рисками предприятия (ERM) и требованиям ISO 31000»
• Пол Хопкин «Основы управления рисками, 2-е издание» Коган-Пейдж (2012 г.) ISBN 978-0-7494-6539-1