Из Википедии, бесплатной энциклопедии
  (Перенаправлено из Enterprise Risk Management )
Перейти к навигации Перейти к поиску

Управление рисками предприятия ( ERM ) в бизнесе включает методы и процессы, используемые организациями для управления рисками и использования возможностей, связанных с достижением их целей. ERM обеспечивает основу для управления рисками , которая обычно включает определение конкретных событий или обстоятельств, относящихся к целям организации (угроз и возможностей), их оценку с точки зрения вероятности и величины воздействия, определение стратегии реагирования и процесс мониторинга. Выявляя и проактивно устраняя риски и возможности, коммерческие предприятия защищают и создают ценность для своих заинтересованных сторон, включая владельцев, сотрудников, клиентов, регулирующие органы и общество в целом.

ERM также можно охарактеризовать как основанный на оценке рисков подход к управлению предприятием, объединяющий концепции внутреннего контроля , закона Сарбейнса – Оксли , защиты данных и стратегического планирования . ERM развивается, чтобы удовлетворить потребности различных заинтересованных сторон, которые хотят понять широкий спектр рисков, с которыми сталкиваются сложные организации, чтобы обеспечить надлежащее управление ими. Регулирующие органы и рейтинговые агентства повысили уровень контроля над процессами управления рисками в компаниях.

По словам Томаса Стэнтона из Университета Джона Хопкинса, цель управления рисками предприятия не в том, чтобы создавать больше бюрократии, а в том, чтобы облегчить обсуждение того, какие действительно большие риски. [1]

Определены рамки ERM [ править ]

Существуют различные важные структуры ERM, каждая из которых описывает подход к выявлению, анализу, реагированию и мониторингу рисков и возможностей во внутренней и внешней среде, с которой сталкивается предприятие. Руководство выбирает стратегию реагирования на определенные риски, выявленные и проанализированные, которые могут включать:

  1. Избегание: прекращение деятельности, связанной с риском
  2. Снижение: принятие мер по снижению вероятности или воздействия, связанного с риском.
  3. Альтернативные действия: решение и рассмотрение других возможных шагов для минимизации рисков
  4. Разделить или застраховать: передача или разделение части риска для его финансирования
  5. Принять: никаких действий не предпринимается из-за решения о затратах / выгодах

Мониторинг обычно осуществляется руководством в рамках своей деятельности по внутреннему контролю, такой как анализ аналитических отчетов или встречи руководящего комитета с соответствующими экспертами, чтобы понять, как работает стратегия реагирования на риски и достигаются ли цели.

Структура Актуарного общества по несчастным случаям [ править ]

В 2003 году Общество актуариев по несчастным случаям (CAS) определило ERM как дисциплину, с помощью которой организация в любой отрасли оценивает, контролирует, использует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации. своим заинтересованным сторонам ». [2] CAS концептуализировал ERM как процесс, охватывающий два измерения типа риска и процессов управления рисками. [2] Типы рисков и примеры включают: [3]

Опасный риск
Правовая ответственность, Материальный ущерб, Природная катастрофа
Финансовый риск
Ценовой риск, Риск активов, Валютный риск, Риск ликвидности
Операционный риск
Удовлетворенность клиентов, отказ продукта, целостность, репутационный риск; Внутреннее браконьерство; Утечка знаний
Стратегические риски
Конкуренция, Социальный тренд, Доступность капитала

Процесс управления рисками включает: [4]

  1. Установление контекста: это включает понимание текущих условий, в которых работает организация, во внутреннем и внешнем контексте, а также в контексте управления рисками.
  2. Выявление рисков: это включает в себя документацию о существенных угрозах достижению организацией ее целей и представление областей, которые организация может использовать для получения конкурентного преимущества.
  3. Анализ / количественная оценка рисков: это включает калибровку и, если возможно, создание распределений вероятностей результатов для каждого существенного риска.
  4. Интеграция рисков: это включает агрегирование всех распределений рисков, отражающих корреляции и эффекты портфеля, а также формулировку результатов с точки зрения воздействия на ключевые показатели эффективности организации.
  5. Оценка / приоритезация рисков: это включает определение вклада каждого риска в совокупный профиль риска и соответствующую приоритизацию.
  6. Обработка / использование рисков: это включает в себя разработку стратегий контроля и использования различных рисков.
  7. Мониторинг и анализ: это включает в себя постоянное измерение и мониторинг среды рисков и эффективности стратегий управления рисками.

Структура COSO ERM [ править ]

COSO «Управление-Integrated Risk Enterprise Framework» , опубликованный в 2004 (Новой редакции COSO ERM 2017 года не упоминается и версия 2004 устарел) определяет ERM как «... процесс, осуществляются правлением хозяйствующего субъекта директоров, менеджмента и других сотрудников , применяется при разработке стратегии и в масштабах всего предприятия, предназначено для выявления потенциальных событий, которые могут повлиять на организацию, и управления рисками в рамках ее аппетита к риску , чтобы обеспечить разумную уверенность в достижении целей организации ». [5]

Структура COSO ERM состоит из восьми компонентов и четырех категорий целей. Это расширение интегрированной системы внутреннего контроля COSO, опубликованной в 1992 году и измененной в 1994 году. Восемь компонентов:

  • Внутренняя среда
  • Постановка целей
  • Идентификация события
  • Оценка рисков
  • Реагирование на риск
  • Контрольные мероприятия
  • Информация и коммуникация
  • Мониторинг

Четыре категории целей (выделены дополнительные компоненты):

  • Стратегия - цели высокого уровня, согласованные с миссией организации и поддерживающие ее
  • Операции - эффективное и рациональное использование ресурсов
  • Финансовая отчетность - надежность операционной и финансовой отчетности
  • Соответствие - соблюдение применимых законов и правил

ISO 31000: новый международный стандарт управления рисками [ править ]

ISO 31000 - это международный стандарт управления рисками, который был опубликован 13 ноября 2009 года. Вскоре после публикации (1 декабря 2009 года) последовал сопроводительный стандарт ISO 31010 - Методы оценки рисков вместе с обновленным словарём по управлению рисками ISO Guide 73.

Модель зрелости риска RIMS [ править ]

Модель зрелости рисков (RMM) RIMS для управления рисками предприятия, опубликованная в 2006 году, представляет собой комплексную структуру содержания и методологии, детализирующую требования к устойчивому и эффективному управлению рисками предприятия. [6] Модель RMM состоит из двадцати пяти факторов компетентности для семи атрибутов, которые создают ценность и полезность ERM в организации. Вот 7 атрибутов:

  • Подход на основе ERM
  • Управление процессами ERM
  • Управление риск-аппетитом
  • Первопричина дисциплины
  • Раскрытие рисков
  • Управление производительностью
  • Устойчивость и устойчивость бизнеса

Модель была разработана Стивеном Мински, генеральным директором LogicManager, и опубликована Обществом управления рисками и страхованием в сотрудничестве с комитетом RIMS ERM. Модель зрелости рисков основана на модели зрелости возможностей, методологии, основанной Институтом программной инженерии Университета Карнеги-Меллона (SEI) в 1980-х годах. [7]

Реализация программы ERM [ править ]

Цели программы ERM [ править ]

Организации по своей природе управляют рисками и имеют множество существующих отделов или функций («функции риска»), которые выявляют и управляют конкретными рисками. Однако каждая функция риска различается по возможностям и тому, как она координируется с другими функциями риска. Основная цель и задача ERM - улучшить эти возможности и координацию, при этом интегрируя выходные данные, чтобы предоставить единую картину риска для заинтересованных сторон и улучшить способность организации эффективно управлять рисками.

Типичные функции риска [ править ]

Функции первичного риска в крупных корпорациях, которые могут участвовать в программе ERM, обычно включают:

  • Стратегическое планирование - определяет внешние угрозы и конкурентные возможности, а также стратегические инициативы по их устранению.
  • Маркетинг - понимает целевого клиента, чтобы гарантировать соответствие продукта / услуги требованиям клиентов.
  • Комплаенс и этика - контролирует соблюдение кодекса поведения и руководит расследованиями мошенничества.
  • Бухгалтерское / финансовое соответствие - руководит оценкой Раздела 302 и 404 Сарбейнса-Оксли, которая определяет риски финансовой отчетности.
  • Юридический отдел - управляет судебными процессами и анализирует возникающие правовые тенденции, которые могут повлиять на организацию.
  • Страхование - обеспечивает надлежащее страховое покрытие для организации.
  • Казначейство - гарантирует, что наличных денег достаточно для удовлетворения потребностей бизнеса, при этом управляя рисками, связанными с ценообразованием на сырьевые товары или валютой
  • Обеспечение эксплуатационного качества - подтверждает, что производственные результаты находятся в пределах допусков.
  • Управление операциями - обеспечивает повседневное ведение бизнеса и устранение связанных с этим препятствий.
  • Кредит - гарантирует, что любой кредит, предоставленный клиентам, соответствует их платежеспособности.
  • Служба поддержки клиентов - обеспечивает своевременное рассмотрение жалоб клиентов и передачу основных причин операциям для разрешения
  • Внутренний аудит - оценивает эффективность каждой из вышеперечисленных функций управления рисками и рекомендует улучшения.
  • Корпоративная безопасность - выявляет, оценивает и снижает риски, связанные с угрозами физической и информационной безопасности.

Общие проблемы при внедрении ERM [ править ]

Различные консалтинговые фирмы предлагают предложения по реализации программы ERM. [8] Общие темы и проблемы включают: [9]

  • Определение спонсоров для ERM.
  • Создание общего языка рисков или глоссария.
  • Описание склонности организации к риску (т. Е. Рисков, которые она примет и не возьмет)
  • Выявление и описание рисков в «перечне рисков».
  • Внедрение методологии ранжирования рисков для определения приоритетности рисков внутри и между функциями.
  • Создание комитета по рискам и / или директора по рискам (CRO) для координации определенных действий функций управления рисками.
  • Установление ответственности за определенные риски и меры реагирования.
  • Демонстрация рентабельности усилий по управлению рисками.
  • Разработка планов действий для обеспечения надлежащего управления рисками.
  • Разработка консолидированной отчетности для различных заинтересованных сторон.
  • Мониторинг результатов действий по снижению риска.
  • Обеспечение эффективного покрытия рисков внутренними аудиторами, консалтинговыми группами и другими оценивающими организациями.
  • Разработка технической структуры ERM, обеспечивающей безопасное участие третьих сторон и удаленных сотрудников.

Роль внутреннего аудита [ править ]

Часть серии по
Бухгалтерский учет
  • Историческая ценность
  • Постоянная покупательная способность
  • Управление
  • Налог
Основные типы
  • Аудит
  • Бюджет
  • Расходы
  • Судебно-медицинская экспертиза
  • Финансовый
  • Фонд
  • Правительственный
  • Управление
  • Социальное
  • Налог
Ключевые идеи
  • Отчетный период
  • Начисление
  • Постоянная покупательная способность
  • Экономическая организация
  • Справедливая стоимость
  • Постоянный концерн
  • Историческая ценность
  • Принцип сопоставления
  • Существенность
  • Признание выручки
  • Расчетная единица
Выбранные аккаунты
  • Ресурсы
  • Денежные средства
  • Стоимость проданных товаров
  • Амортизация  / Амортизация
  • Капитал
  • Затраты
  • Доброжелательность
  • Пассивы
  • Выгода
  • Доход
Стандарты бухгалтерского учета
  • Общепринятые принципы
  • Общепринятые стандарты аудита
  • Конвергенция
  • Международные стандарты финансовой отчетности
  • Международные стандарты аудита
  • Принципы управленческого учета
Финансовые отчеты
  • Годовой отчет
  • Бухгалтерский баланс
  • Денежный поток
  • Капитал
  • Доход
  • Обсуждение руководства
  • Примечания к финансовой отчетности
Бухгалтерия
  • Банковская сверка
  • Дебет и кредит
  • Двойная система входа
  • ФИФО и ЛИФО
  • Журнал
  • Главная книга  / Главная книга
  • T счета
  • Пробный баланс
Аудиторская проверка
  • Финансовый
  • Внутренний
  • Фирмы
  • Отчет
Люди и организации
  • Бухгалтеров
  • Бухгалтерские организации
  • Лука Пачоли
Разработка
  • История
  • Исследовать
  • Положительный учет
  • Закон Сарбейнса – Оксли
  • v
  • т
  • е

Помимо аудита информационных технологий, внутренние аудиторы играют важную роль в оценке процессов управления рисками в организации и пропаганде их постоянного улучшения. Однако для сохранения своей организационной независимости и объективных суждений профессиональные стандарты внутреннего аудита указывают, что подразделение не должно нести никакой прямой ответственности за принятие решений по управлению рисками на предприятии или за управление функцией управления рисками. [10]

Внутренние аудиторы обычно проводят ежегодную оценку рисков предприятия, чтобы разработать план аудиторских заданий на предстоящий год. На практике этот план обновляется с разной периодичностью. Обычно это включает в себя обзор различных оценок рисков, выполняемых предприятием (например, стратегических планов, сравнительный анализ конкурентов и нисходящую оценку рисков SOX 404 ), рассмотрение предыдущих аудитов и интервью с различными руководителями высшего звена. Он предназначен для выявления проектов аудита, а не для определения, определения приоритетов и управления рисками непосредственно для предприятия.

Текущие проблемы в ERM [ править ]

Процессы управления рисками корпораций во всем мире подвергаются все более пристальному контролю со стороны регулирующих органов и частного сектора. Риск - неотъемлемая часть любого бизнеса. При правильном управлении он способствует росту и расширению возможностей. Руководители борются с давлением бизнеса, которое может быть частично или полностью вне их непосредственного контроля, например, проблемные финансовые рынки; слияния, поглощения и реструктуризации; подрывные технологические изменения; геополитическая нестабильность; и рост цен на энергию.

Требования Закона Сарбейнса-Оксли [ править ]

Раздел 404 из закона Сарбейнса-Оксли 2002 года требуется США публично торгуемых корпораций используют систему контроля в своих оценках внутреннего контроля. Многие выбрали систему внутреннего контроля COSO , которая включает элемент оценки рисков. Кроме того, в новом руководстве, выпущенном Комиссией по ценным бумагам и биржам (SEC) и PCAOB в 2007 году, повышенное внимание уделяется оценке рисков сверху вниз и содержится конкретное требование о проведении оценки рисков мошенничества . [11] Оценка риска мошенничества обычно включает выявление сценариев потенциального (или уже имевшего место) мошенничества, связанных с ними рисков для организации, соответствующих средств контроля и любых действий, предпринятых в результате.

Правила корпоративного управления NYSE [ править ]

Нью - Йоркская фондовая биржа требует комитетов по аудиту своих перечисленных компаний «обсудить политику в отношении оценки рисков и управление рисками. »Соответствующий комментарий продолжается:« Хотя работа генерального директора и высшего руководства состоит в том, чтобы оценивать и управлять подверженностью компании риску, комитет по аудиту должен обсудить руководящие принципы и политику, чтобы управлять процессом, с помощью которого это обрабатывается. Комитет по аудиту должен обсудить основные финансовые риски компании и шаги, предпринятые руководством для мониторинга и контроля таких рисков. Комитет по аудиту не должен быть единственным органом, ответственным за оценку и управление рисками, но, как указано выше, комитет должен обсудить руководящие принципы и политики, регулирующие процесс оценки и управления рисками. Многие компании, особенно финансовые, управляют и оценивают свои риски с помощью иных механизмов, чем комитет по аудиту.Процессы, применяемые в этих компаниях, должны быть рассмотрены в целом комитетом по аудиту, но комитет по аудиту не должен их заменять ».[12]

ERM и рейтинги корпоративного долга [ править ]

Standard & Poor's (S&P), рейтинговое агентство, планирует включить ряд вопросов об управлении рисками в процесс оценки своей компании. Это будет распространено на финансовые компании в 2007 году. [13] Результаты этого исследования являются одним из многих факторов, учитываемых при рейтинге долга, который оказывает соответствующее влияние на процентные ставки, которые кредиторы взимают с компаний за ссуды или облигации. [14] 7 мая 2008 г. S&P также объявило, что начнет включать оценку ERM в свои рейтинги нефинансовых компаний, начиная с 2009 г. [15], с первоначальными комментариями в своих отчетах за 4 квартал 2008 г. [16]

Стандарты деятельности IFC [ править ]

Стандарты деятельности Международной финансовой корпорации [17] ориентированы на управление рисками и воздействиями для здоровья, безопасности, окружающей среды и социальной сферы. Третье издание было опубликовано 1 января 2012 г. после двухлетних переговоров с частным сектором, правительствами и организациями гражданского общества. Они были приняты Equator Principles Banks, консорциумом из более чем 118 коммерческих банков в 37 странах.

Конфиденциальность данных [ править ]

Правила конфиденциальности данных, такие как Европейский Союз 's Общие данные Регулирование защиты , все более Предусмотреть значительные штрафы за неспособность поддерживать адекватную защиту отдельных лиц персональных данных , такие как имена, адрес электронной почты и личную финансовую информацию или лицо оповещения пострадавших , когда данные конфиденциальность нарушена. Регламент ЕС требует от любой организации, включая организации, расположенные за пределами ЕС, назначить сотрудника по защите данных, подчиняющегося высшему руководству [18], если они обрабатывают личные данные любого человека, проживающего в ЕС.

Актуарный ответ [ править ]

Актуарное общество по несчастным случаям [ править ]

В 2003 году Комитет по управлению рисками предприятия Актуарного общества по несчастным случаям (CAS) опубликовал свой обзор ERM. [19] В этом документе изложены эволюция, обоснование, определения и основы ERM с точки зрения актуарного анализа несчастных случаев, а также включены терминология, концептуальные и технические основы, фактическая практика и приложения, а также тематические исследования. [19]

CAS имеет конкретные заявленные цели ERM, в том числе быть «ведущим международным поставщиком учебных материалов, касающихся управления рисками предприятия (ERM) в сфере страхования имущества от несчастных случаев» [20], а также спонсирует исследования, разработки и обучение актуариев по несчастным случаям в в этом отношении. [21] CAS воздерживается от выдачи собственных учетных данных; вместо этого в 2007 году Правление CAS решило, что CAS должна участвовать в инициативе по разработке глобального обозначения ERM и принять окончательное решение позднее. [22]

Общество актуариев [ править ]

В 2007 году Общество актуариев разработало квалификацию дипломированного аналитика корпоративных рисков (CERA) в ответ на растущую область управления корпоративными рисками. [23] Это первое новое профессиональное свидетельство, введенное SOA с 1949 года. [24] CERA изучает, как различные риски, включая операционные, инвестиционные, стратегические и репутационные, объединяются, чтобы повлиять на организации. CERA работают не только в сфере страхования, перестрахования и консалтинговых услуг, но и в сфере финансовых услуг, энергетики, транспорта, СМИ, технологий, производства и здравоохранения. [24]

Для прохождения учебной программы CERA, которая сочетает в себе основы актуарных наук, принципы ERM и курс профессионализма, требуется примерно три-четыре года. Чтобы получить сертификат CERA, кандидаты должны сдать пять экзаменов, выполнить требования к получению образования, пройти один онлайн-курс и посетить один очный курс по профессионализму. [24]

CERA Global [ править ]

Первоначально все CERA были членами Общества актуариев [25], но в 2009 году статус CERA стал глобальным специализированным профессиональным сертификатом, присуждаемым и регулируемым несколькими актуарными органами. [26]

См. Также [ править ]

  • Актуарная наука
  • Airmic
  • Базель III
  • Риск выгоды
  • Комитет организаций-спонсоров Комиссии Тредуэя
  • Риск стоимости
  • Риск кредита
  • Управление качеством информации
  • ISO 31000
  • Рыночный риск и стратегическое планирование
  • Управление операционным риском
  • Предвзятость оптимизма
  • Рентабельность капитала с поправкой на риск
  • Склонность к риску
  • Инструменты управления рисками
  • RiskLab
  • Оценка рисков и внутренний контроль ISA 400
  • Оценка рисков SOX 404 сверху вниз
  • Полное управление безопасностью
  • Управление присутствием в Интернете

Ссылки [ править ]

  1. Томас Стэнтон (18 февраля 2017 г.). «Управление рисками предприятия» . YouTube . TEDxJHUDC. Весь смысл корпоративного управления рисками не в том, чтобы создать еще один слой бюрократии, а в том, чтобы ваш директор по рискам помогал вести беседы, а затем обсуждать приоритеты - каковы действительно большие риски, с которыми мы должны бороться.
  2. ^ a b Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям : 8 . Проверено 15 сентября 2008 . Цитировать журнал требует |journal=( помощь )
  3. ^ Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям : 9–10 . Проверено 15 сентября 2008 . Цитировать журнал требует |journal=( помощь )
  4. ^ Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям : 11–13 . Проверено 15 сентября 2008 . Цитировать журнал требует |journal=( помощь )
  5. ^ "Управление рисками предприятия - Интегрированная структура: Краткое содержание" (PDF) . Комитет спонсорских организаций Комиссии Тредуэя . Сентябрь 2004 . Проверено 16 сентября 2008 . Цитировать журнал требует |journal=( помощь )
  6. ^ [1]
  7. ^ "Архивная копия" . Архивировано из оригинала на 2018-12-25 . Проверено 24 октября 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка )
  8. ^ Рекомендации по внедрению ERM
  9. ^ Часто задаваемые вопросы по ERM
  10. ^ Роль внутреннего аудита в ERM. Архивировано 5 сентября 2013 г. на Wayback Machine.
  11. ^ Стандарт аудита PCAOB № 5 Архивировано 27 июня 2007 г. в Wayback Machine
  12. ^ «Стандарты листинга NYSE, часть 7d» (PDF) . Архивировано из оригинального (PDF) 11 июня 2014 года . Проверено 27 августа 2017 .
  13. ^ S & P Рейтинги - казначейство и статьи риска архивации 2007-09-28 в Wayback Machine
  14. ^ S&P ERM для финансовых учреждений
  15. ^ Часто задаваемые вопросы по S&P ERM
  16. ^ Объявление S&P ERM
  17. ^ http://www.ifc.org/wps/wcm/connect/topics_ext_content/ifc_external_corporate_site/sustainability-at-ifc/policies-standards/performance-standards/ps1
  18. ^ "Отчет FERMA ECIIA по управлению киберрисками | Ferma" . www.ferma.eu . Проверено 1 октября 2018 .
  19. ^ a b Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям . Проверено 15 сентября 2008 . Cite journal requires |journal= (help)
  20. ^ "Цели ERM SAM" (PDF) . Цели столетия CAS и цели SAM . Актуарное общество по несчастным случаям . Март 2008 . Проверено 15 сентября 2008 .
  21. ^ "Корпоративный веб-сайт управления рисками" . Актуарное общество по несчастным случаям . 2008 . Проверено 15 сентября 2008 .
  22. ^ "Краткое содержание: Заседание Совета директоров CAS" (PDF) . Актуарное общество по несчастным случаям . 17 июня, 2007. Архивировано из оригинального (PDF) 27 июня 2010 года . Проверено 15 сентября 2008 .
  23. ^ «Обзор учетных данных» . Общество актуариев . 2008 . Проверено 15 сентября 2008 .
  24. ^ a b c «Быстрые факты о CERA» . Общество актуариев . 2008 . Проверено 15 сентября 2008 .
  25. ^ «Преимущества» . Общество актуариев . 2008 . Проверено 15 сентября 2008 .
  26. ^ "Договор CERA" . CERA Global. 2009. Архивировано из оригинала на 2015-01-12 . Проверено 12 января 2015 .

Внешние ссылки [ править ]

  • Томас Стэнтон (18 февраля, 2017). «Управление рисками предприятия» . YouTube . TEDxJHUDC.
  • Airmic / Alarm / IRM (2010) «Структурированный подход к управлению рисками предприятия (ERM) и требованиям ISO 31000»
  • Хопкин, Пол "Основы управления рисками, 2-е издание" Коган-Пейдж (2012) ISBN 978-0-7494-6539-1