Управление рисками предприятия (ERM ) в бизнесе включает методы и процессы, используемые организациями для управления рисками и использования возможностей, связанных с достижением своих целей. ERM обеспечивает основу для управления рисками, которая обычно включает в себя определение конкретных событий или обстоятельств, имеющих отношение к целям организации (угроз и возможностей), их оценку с точки зрения вероятности и величины воздействия, определение стратегии реагирования и процесс мониторинга. Выявляя и проактивно устраняя риски и возможности, коммерческие предприятия защищают и создают ценность для своих заинтересованных сторон, включая владельцев, сотрудников, клиентов, регулирующие органы и общество в целом.
ERM можно также описать как основанный на оценке риска подход к управлению предприятием, объединяющий концепции внутреннего контроля, Закон Сарбейнса – Оксли, данные защита и стратегическое планирование. ERM развивается, чтобы удовлетворить потребности различных заинтересованных сторон, которые хотят понимать широкий спектр рисков, с которыми сталкиваются сложные организации, чтобы обеспечить надлежащее управление ими. Регулирующие органы и рейтинговые агентства повысили уровень контроля над процессами управления рисками компаний.
По словам Томаса Стэнтона из Университета Джона Хопкинса, цель корпоративного управления рисками не в том, чтобы создавать больше бюрократии, а в том, чтобы облегчить обсуждение того, какие действительно большие риски.
Есть различные важные структуры ERM, каждая из которых описывает подход к выявлению, анализу, реагированию и мониторингу рисков и возможностей во внутренней и внешней среде, с которой сталкивается предприятие. Руководство выбирает стратегию реагирования на определенные риски, выявленные и проанализированные, которые могут включать:
Мониторинг обычно осуществляется руководством в рамках своей деятельности по внутреннему контролю, такой как рассмотрение аналитических отчетов или встречи комитета управления с соответствующими экспертами, чтобы понять, как работает стратегия реагирования на риски и достигаются ли цели.
В 2003 г. Общество актуариев по несчастным случаям (CAS) определило ERM как дисциплину, с помощью которой организация в любой отрасли оценивает, контролирует, использует, финансирует и отслеживает риски из всех источников с целью увеличения краткосрочной и долгосрочной ценности организации для заинтересованных сторон ». В CAS концептуально ERM рассматривается как процесс, охватывающий два аспекта: тип риска и процессы управления рисками. Типы рисков и примеры включают:
Процесс управления рисками включает:
COSO «Интегрированная система управления рисками предприятия», опубликованная в 2004 году (новая редакция COSO ERM 2017 не упоминается, а версия 2004 года устарела) определяет ERM как «… процесс, осуществляемый советом директоров, руководством и другим персоналом организации., применяется при разработке стратегии и в масштабах всего предприятия, предназначено для выявления потенциальных событий, которые могут повлиять на организацию, и управления рисками в рамках его аппетита к риску, чтобы обеспечить разумную уверенность в достижении целей организации ».
Структура COSO ERM состоит из восьми компонентов и четырех категорий целей. Это расширение интегрированной концепции внутреннего контроля COSO , опубликованной в 1992 году и измененной в 1994 году. Восемь компонентов (выделены дополнительные компоненты):
Четыре категории целей (выделены дополнительные компоненты):
ISO 31000 - это международный стандарт управления рисками, опубликованный 13 ноября 2009 г. andard, ISO 31010 - Методы оценки рисков, вскоре после публикации (1 декабря 2009 г.) вместе с обновленным термином ISO Guide 73 по управлению рисками.
Модель зрелости рисков RIMS (RMM) для управления рисками предприятия, опубликованная в 2006 году, представляет собой комплексную структуру содержания и методологии, в которой подробно описаны требования для устойчивого и эффективного управления рисками предприятия. Модель RMM состоит из двадцати пяти факторов компетентности по семи атрибутам, которые создают ценность и полезность ERM в организации. Вот семь атрибутов:
Модель была разработана Стивеном Мински, генеральным директором LogicManager, и опубликована Обществом управления рисками и страхованием в сотрудничестве с RIMS Комитет по ERM. Модель зрелости рисков основана на модели зрелости возможностей - методологии, основанной Институтом программной инженерии Университета Карнеги-Меллона (SEI) в 1980-х.
Организации по своей природе управляют рисками и имеют множество существующих отделов или функций («функции риска»), которые выявляют и управляют конкретными рисками. Однако каждая функция риска различается по возможностям и тому, как она согласовывается с другими функциями риска. Основная цель и задача ERM - улучшить эти возможности и координацию, при этом интегрируя выходные данные, чтобы предоставить единую картину риска для заинтересованных сторон и улучшить способность организации эффективно управлять рисками.
Основные функции управления рисками в крупных корпорациях, которые могут участвовать в программе ERM, обычно включают:
Различные консалтинговые фирмы предлагают предложения по реализации программы ERM. Общие темы и проблемы включают:
Помимо аудита информационных технологий, внутренние аудиторы играют важную роль в оценка процессов управления рисками в организации и поддержка их постоянного улучшения. Однако для сохранения своей организационной независимости и объективных суждений профессиональные стандарты внутреннего аудита указывают на то, что подразделение не должно нести никакой прямой ответственности за принятие решений по управлению рисками для предприятия или за управление функцией управления рисками.
Обычно выполняют внутренние аудиторы. ежегодная оценка рисков предприятия для разработки плана аудиторских заданий на предстоящий год. На практике этот план обновляется с разной периодичностью. Обычно это включает анализ различных оценок рисков, выполняемых предприятием (например, стратегических планов, сравнительного анализа конкурентов и нисходящую оценку рисков SOX 404 ), рассмотрение предыдущих аудитов и собеседование с различными руководителями. управление. Он предназначен для выявления проектов аудита, а не для определения, определения приоритетов и управления рисками непосредственно для предприятия.
Процессы управления рисками корпораций во всем мире подвергаются все более пристальному контролю со стороны регулирующих органов и частного сектора. Риск - неотъемлемая часть любого бизнеса. При правильном управлении он способствует росту и расширению возможностей. Руководители борются с давлением бизнеса, которое может быть частично или полностью вне их непосредственного контроля, например, проблемные финансовые рынки; слияния, поглощения и реструктуризации; революционные технологии изменение; геополитическая нестабильность; и рост цен на энергию.
Раздел 404 Закона Сарбейнса-Оксли 2002 г. требовали от публично торгуемых корпораций США использовать систему контроля при оценке внутреннего контроля. Многие выбрали систему COSO внутреннего контроля, которая включает элемент оценки риска. Кроме того, в новом руководстве, выпущенном Комиссией по ценным бумагам и биржам (SEC) и PCAOB в 2007 году, повышенное внимание уделяется нисходящей оценке рисков и содержится конкретная Требование выполнить оценку риска мошенничества. Оценка риска мошенничества обычно включает выявление сценариев потенциального (или уже имевшего место) мошенничества, связанных с ними рисков для организации, соответствующих средств контроля и любых действий, предпринятых в результате.
Нью-Йоркская фондовая биржа требует, чтобы комитеты по аудиту ее листинговых компаний «обсуждали политику в отношении оценки рисков и управление рисками ". Соответствующий комментарий продолжается: «Хотя работа генерального директора и высшего руководства заключается в оценке и управлении подверженностью компании риску, комитет по аудиту должен обсудить руководящие принципы и политику, регулирующие процесс, с помощью которого это обрабатывается. Комитет по аудиту должен обсудить основные финансовые риски компании и шаги, предпринятые руководством для мониторинга и контроля таких рисков. Комитет по аудиту не должен быть единственным органом, ответственным за оценку и управление рисками, но, как указано выше, комитет должен обсуждать руководящие принципы и политики для управления процессом, посредством которого осуществляется оценка и управление рисками. Многие компании, особенно финансовые компании, управляют и оценивают свой риск с помощью иных механизмов, чем комитет по аудиту. Процессы, применяемые в этих компаниях, должны быть проанализированы аудитором в целом комитет, но их не нужно заменять комитетом по аудиту ».
Стандартные Рейтинговое агентство d Poor's (SP) планирует включить в процесс оценки своей компании ряд вопросов об управлении рисками. Это будет распространено на финансовые компании в 2007 году. Результаты этого расследования являются одним из многих факторов, учитываемых при рейтинге долга, который оказывает соответствующее влияние на процентные ставки, которые кредиторы взимают с компаний за ссуды или облигации. 7 мая 2008 г. SP также объявило, что начнет включать оценку ERM в свои рейтинги нефинансовых компаний, начиная с 2009 г., с первоначальными комментариями в своих отчетах за 4 квартал 2008 г.
Стандарт деятельности IFC фокусируется на управлении рисками для здоровья, безопасности, окружающей среды и социальных рисков. Третье издание было опубликовано 1 января 2012 г. после двухлетних переговоров с частным сектором, правительствами и организациями гражданского общества. Он был принят консорциумом Equator Banks, объединяющим более 90 коммерческих банков в 37 странах.
Правила конфиденциальности данных, такие как Европейский союз Общие правила защиты данных, все чаще предусматривают значительные штрафы за несоблюдение адекватная защита личных данных людей, таких как имена, адреса электронной почты и личная финансовая информация, или оповещение затронутых лиц о нарушении конфиденциальности данных. Регламент ЕС требует от любой организации, включая организации, расположенные за пределами ЕС, назначить сотрудника по защите данных, подчиняющегося высшему руководству, если они обрабатывают личные данные любого человека, проживающего в ЕС.
В 2003 году Комитет по управлению рисками предприятия Актуарного общества по несчастным случаям (CAS) опубликовал свой обзор ERM. В этом документе излагаются эволюция, обоснование, определения и основы ERM с актуарной точки зрения, а также включены терминология, концептуальные и технические основы, фактическая практика и приложения, а также тематические исследования.
CAS имеет конкретные заявленные цели ERM, в том числе быть «ведущим международным поставщиком учебных материалов, касающихся управления рисками предприятия (ERM) в сфере имущественного страхования от несчастных случаев», и спонсировал исследования, разработки и обучение актуариев по несчастным случаям в этом отношении. CAS воздерживается от выдачи собственных учетных данных; вместо этого, в 2007 году Правление CAS решило, что CAS должна участвовать в инициативе по разработке глобального обозначения ERM и принять окончательное решение несколько позже.
В В 2007 году Общество актуариев разработало квалификацию дипломированного аналитика корпоративных рисков (CERA) в ответ на растущую область корпоративного управления рисками. Это первое новое профессиональное свидетельство, введенное SOA с 1949 года. Исследование CERA направлено на изучение того, как различные риски, включая операционные, инвестиционные, стратегические и репутационные, влияют на организации. CERA работают не только в сфере страхования, перестрахования и консалтинговых услуг, но и в более широких сферах финансовых услуг, энергетики, транспорта, СМИ, технологий, производства и здравоохранения.
Для завершения учебной программы CERA, которая объединяет основы актуарной науки, принципы ERM и курс профессионализма. Чтобы получить сертификат CERA, кандидаты должны сдать пять экзаменов, выполнить требования к образованию, пройти один онлайн-курс и посетить один очный курс по профессионализму.
Изначально все CERA были членами Общества актуариев, но в 2009 году статус CERA стал глобальным специализированным профессиональным сертификатом, присуждаемым и регулируемым несколькими актуарными органами.