Управление рисками предприятия ( ERM ) в бизнесе включает методы и процессы, используемые организациями для управления рисками и использования возможностей, связанных с достижением их целей. ERM обеспечивает основу для управления рисками , которая обычно включает определение конкретных событий или обстоятельств, относящихся к целям организации (угроз и возможностей), их оценку с точки зрения вероятности и величины воздействия, определение стратегии реагирования и процесс мониторинга. Выявляя и проактивно устраняя риски и возможности, коммерческие предприятия защищают и создают ценность для своих заинтересованных сторон, включая владельцев, сотрудников, клиентов, регулирующие органы и общество в целом.
ERM также можно охарактеризовать как основанный на оценке рисков подход к управлению предприятием, объединяющий концепции внутреннего контроля , закона Сарбейнса – Оксли , защиты данных и стратегического планирования . ERM развивается, чтобы удовлетворить потребности различных заинтересованных сторон, которые хотят понять широкий спектр рисков, с которыми сталкиваются сложные организации, чтобы обеспечить надлежащее управление ими. Регулирующие органы и рейтинговые агентства повысили уровень контроля над процессами управления рисками в компаниях.
По словам Томаса Стэнтона из Университета Джона Хопкинса, цель управления рисками предприятия не в том, чтобы создавать больше бюрократии, а в том, чтобы облегчить обсуждение того, какие действительно большие риски. [1]
Определены рамки ERM [ править ]
Существуют различные важные структуры ERM, каждая из которых описывает подход к выявлению, анализу, реагированию и мониторингу рисков и возможностей во внутренней и внешней среде, с которой сталкивается предприятие. Руководство выбирает стратегию реагирования на определенные риски, выявленные и проанализированные, которые могут включать:
- Избегание: прекращение деятельности, связанной с риском
- Снижение: принятие мер по снижению вероятности или воздействия, связанного с риском.
- Альтернативные действия: решение и рассмотрение других возможных шагов для минимизации рисков
- Разделить или застраховать: передача или разделение части риска для его финансирования
- Принять: никаких действий не предпринимается из-за решения о затратах / выгодах
Мониторинг обычно осуществляется руководством в рамках своей деятельности по внутреннему контролю, такой как анализ аналитических отчетов или встречи руководящего комитета с соответствующими экспертами, чтобы понять, как работает стратегия реагирования на риски и достигаются ли цели.
Структура Актуарного общества по несчастным случаям [ править ]
В 2003 году Общество актуариев по несчастным случаям (CAS) определило ERM как дисциплину, с помощью которой организация в любой отрасли оценивает, контролирует, использует, финансирует и отслеживает риски из всех источников с целью повышения краткосрочной и долгосрочной ценности организации. своим заинтересованным сторонам ». [2] CAS концептуализировал ERM как процесс, охватывающий два измерения типа риска и процессов управления рисками. [2] Типы рисков и примеры включают: [3]
- Опасный риск
- Правовая ответственность, Материальный ущерб, Природная катастрофа
- Финансовый риск
- Ценовой риск, Риск активов, Валютный риск, Риск ликвидности
- Операционный риск
- Удовлетворенность клиентов, отказ продукта, целостность, репутационный риск; Внутреннее браконьерство; Утечка знаний
- Стратегические риски
- Конкуренция, Социальный тренд, Доступность капитала
Процесс управления рисками включает: [4]
- Установление контекста: это включает понимание текущих условий, в которых работает организация, во внутреннем и внешнем контексте, а также в контексте управления рисками.
- Выявление рисков: это включает в себя документацию о существенных угрозах достижению организацией ее целей и представление областей, которые организация может использовать для получения конкурентного преимущества.
- Анализ / количественная оценка рисков: это включает калибровку и, если возможно, создание распределений вероятностей результатов для каждого существенного риска.
- Интеграция рисков: это включает агрегирование всех распределений рисков, отражающих корреляции и эффекты портфеля, а также формулировку результатов с точки зрения воздействия на ключевые показатели эффективности организации.
- Оценка / приоритезация рисков: это включает определение вклада каждого риска в совокупный профиль риска и соответствующую приоритизацию.
- Обработка / использование рисков: это включает в себя разработку стратегий контроля и использования различных рисков.
- Мониторинг и анализ: это включает в себя постоянное измерение и мониторинг среды рисков и эффективности стратегий управления рисками.
Структура COSO ERM [ править ]
COSO «Управление-Integrated Risk Enterprise Framework» , опубликованный в 2004 (Новой редакции COSO ERM 2017 года не упоминается и версия 2004 устарел) определяет ERM как «... процесс, осуществляются правлением хозяйствующего субъекта директоров, менеджмента и других сотрудников , применяется при разработке стратегии и в масштабах всего предприятия, предназначено для выявления потенциальных событий, которые могут повлиять на организацию, и управления рисками в рамках ее аппетита к риску , чтобы обеспечить разумную уверенность в достижении целей организации ». [5]
Структура COSO ERM состоит из восьми компонентов и четырех категорий целей. Это расширение интегрированной системы внутреннего контроля COSO, опубликованной в 1992 году и измененной в 1994 году. Восемь компонентов:
- Внутренняя среда
- Постановка целей
- Идентификация события
- Оценка рисков
- Реагирование на риск
- Контрольные мероприятия
- Информация и коммуникация
- Мониторинг
Четыре категории целей (выделены дополнительные компоненты):
- Стратегия - цели высокого уровня, согласованные с миссией организации и поддерживающие ее
- Операции - эффективное и рациональное использование ресурсов
- Финансовая отчетность - надежность операционной и финансовой отчетности
- Соответствие - соблюдение применимых законов и правил
ISO 31000: новый международный стандарт управления рисками [ править ]
ISO 31000 - это международный стандарт управления рисками, который был опубликован 13 ноября 2009 года. Вскоре после публикации (1 декабря 2009 года) последовал сопроводительный стандарт ISO 31010 - Методы оценки рисков вместе с обновленным словарём по управлению рисками ISO Guide 73.
Модель зрелости риска RIMS [ править ]
Модель зрелости рисков (RMM) RIMS для управления рисками предприятия, опубликованная в 2006 году, представляет собой комплексную структуру содержания и методологии, детализирующую требования к устойчивому и эффективному управлению рисками предприятия. [6] Модель RMM состоит из двадцати пяти факторов компетентности для семи атрибутов, которые создают ценность и полезность ERM в организации. Вот 7 атрибутов:
- Подход на основе ERM
- Управление процессами ERM
- Управление риск-аппетитом
- Первопричина дисциплины
- Раскрытие рисков
- Управление производительностью
- Устойчивость и устойчивость бизнеса
Модель была разработана Стивеном Мински, генеральным директором LogicManager, и опубликована Обществом управления рисками и страхованием в сотрудничестве с комитетом RIMS ERM. Модель зрелости рисков основана на модели зрелости возможностей, методологии, основанной Институтом программной инженерии Университета Карнеги-Меллона (SEI) в 1980-х годах. [7]
Реализация программы ERM [ править ]
Цели программы ERM [ править ]
Организации по своей природе управляют рисками и имеют множество существующих отделов или функций («функции риска»), которые выявляют и управляют конкретными рисками. Однако каждая функция риска различается по возможностям и тому, как она координируется с другими функциями риска. Основная цель и задача ERM - улучшить эти возможности и координацию, при этом интегрируя выходные данные, чтобы предоставить единую картину риска для заинтересованных сторон и улучшить способность организации эффективно управлять рисками.
Типичные функции риска [ править ]
Функции первичного риска в крупных корпорациях, которые могут участвовать в программе ERM, обычно включают:
- Стратегическое планирование - определяет внешние угрозы и конкурентные возможности, а также стратегические инициативы по их устранению.
- Маркетинг - понимает целевого клиента, чтобы гарантировать соответствие продукта / услуги требованиям клиентов.
- Комплаенс и этика - контролирует соблюдение кодекса поведения и руководит расследованиями мошенничества.
- Бухгалтерское / финансовое соответствие - руководит оценкой Раздела 302 и 404 Сарбейнса-Оксли, которая определяет риски финансовой отчетности.
- Юридический отдел - управляет судебными процессами и анализирует возникающие правовые тенденции, которые могут повлиять на организацию.
- Страхование - обеспечивает надлежащее страховое покрытие для организации.
- Казначейство - гарантирует, что наличных денег достаточно для удовлетворения потребностей бизнеса, при этом управляя рисками, связанными с ценообразованием на сырьевые товары или валютой
- Обеспечение эксплуатационного качества - подтверждает, что производственные результаты находятся в пределах допусков.
- Управление операциями - обеспечивает повседневное ведение бизнеса и устранение связанных с этим препятствий.
- Кредит - гарантирует, что любой кредит, предоставленный клиентам, соответствует их платежеспособности.
- Служба поддержки клиентов - обеспечивает своевременное рассмотрение жалоб клиентов и передачу основных причин операциям для разрешения
- Внутренний аудит - оценивает эффективность каждой из вышеперечисленных функций управления рисками и рекомендует улучшения.
- Корпоративная безопасность - выявляет, оценивает и снижает риски, связанные с угрозами физической и информационной безопасности.
Общие проблемы при внедрении ERM [ править ]
Различные консалтинговые фирмы предлагают предложения по реализации программы ERM. [8] Общие темы и проблемы включают: [9]
- Определение спонсоров для ERM.
- Создание общего языка рисков или глоссария.
- Описание склонности организации к риску (т. Е. Рисков, которые она примет и не возьмет)
- Выявление и описание рисков в «перечне рисков».
- Внедрение методологии ранжирования рисков для определения приоритетности рисков внутри и между функциями.
- Создание комитета по рискам и / или директора по рискам (CRO) для координации определенных действий функций управления рисками.
- Установление ответственности за определенные риски и меры реагирования.
- Демонстрация рентабельности усилий по управлению рисками.
- Разработка планов действий для обеспечения надлежащего управления рисками.
- Разработка консолидированной отчетности для различных заинтересованных сторон.
- Мониторинг результатов действий по снижению риска.
- Обеспечение эффективного покрытия рисков внутренними аудиторами, консалтинговыми группами и другими оценивающими организациями.
- Разработка технической структуры ERM, обеспечивающей безопасное участие третьих сторон и удаленных сотрудников.
Роль внутреннего аудита [ править ]
Часть серии по |
Бухгалтерский учет |
---|
|
Помимо аудита информационных технологий, внутренние аудиторы играют важную роль в оценке процессов управления рисками в организации и пропаганде их постоянного улучшения. Однако для сохранения своей организационной независимости и объективных суждений профессиональные стандарты внутреннего аудита указывают, что подразделение не должно нести никакой прямой ответственности за принятие решений по управлению рисками на предприятии или за управление функцией управления рисками. [10]
Внутренние аудиторы обычно проводят ежегодную оценку рисков предприятия, чтобы разработать план аудиторских заданий на предстоящий год. На практике этот план обновляется с разной периодичностью. Обычно это включает в себя обзор различных оценок рисков, выполняемых предприятием (например, стратегических планов, сравнительный анализ конкурентов и нисходящую оценку рисков SOX 404 ), рассмотрение предыдущих аудитов и интервью с различными руководителями высшего звена. Он предназначен для выявления проектов аудита, а не для определения, определения приоритетов и управления рисками непосредственно для предприятия.
Текущие проблемы в ERM [ править ]
Процессы управления рисками корпораций во всем мире подвергаются все более пристальному контролю со стороны регулирующих органов и частного сектора. Риск - неотъемлемая часть любого бизнеса. При правильном управлении он способствует росту и расширению возможностей. Руководители борются с давлением бизнеса, которое может быть частично или полностью вне их непосредственного контроля, например, проблемные финансовые рынки; слияния, поглощения и реструктуризации; подрывные технологические изменения; геополитическая нестабильность; и рост цен на энергию.
Требования Закона Сарбейнса-Оксли [ править ]
Раздел 404 из закона Сарбейнса-Оксли 2002 года требуется США публично торгуемых корпораций используют систему контроля в своих оценках внутреннего контроля. Многие выбрали систему внутреннего контроля COSO , которая включает элемент оценки рисков. Кроме того, в новом руководстве, выпущенном Комиссией по ценным бумагам и биржам (SEC) и PCAOB в 2007 году, повышенное внимание уделяется оценке рисков сверху вниз и содержится конкретное требование о проведении оценки рисков мошенничества . [11] Оценка риска мошенничества обычно включает выявление сценариев потенциального (или уже имевшего место) мошенничества, связанных с ними рисков для организации, соответствующих средств контроля и любых действий, предпринятых в результате.
Правила корпоративного управления NYSE [ править ]
Нью - Йоркская фондовая биржа требует комитетов по аудиту своих перечисленных компаний «обсудить политику в отношении оценки рисков и управление рисками. »Соответствующий комментарий продолжается:« Хотя работа генерального директора и высшего руководства состоит в том, чтобы оценивать и управлять подверженностью компании риску, комитет по аудиту должен обсудить руководящие принципы и политику, чтобы управлять процессом, с помощью которого это обрабатывается. Комитет по аудиту должен обсудить основные финансовые риски компании и шаги, предпринятые руководством для мониторинга и контроля таких рисков. Комитет по аудиту не должен быть единственным органом, ответственным за оценку и управление рисками, но, как указано выше, комитет должен обсудить руководящие принципы и политики, регулирующие процесс оценки и управления рисками. Многие компании, особенно финансовые, управляют и оценивают свои риски с помощью иных механизмов, чем комитет по аудиту.Процессы, применяемые в этих компаниях, должны быть рассмотрены в целом комитетом по аудиту, но комитет по аудиту не должен их заменять ».[12]
ERM и рейтинги корпоративного долга [ править ]
Standard & Poor's (S&P), рейтинговое агентство, планирует включить ряд вопросов об управлении рисками в процесс оценки своей компании. Это будет распространено на финансовые компании в 2007 году. [13] Результаты этого исследования являются одним из многих факторов, учитываемых при рейтинге долга, который оказывает соответствующее влияние на процентные ставки, которые кредиторы взимают с компаний за ссуды или облигации. [14] 7 мая 2008 г. S&P также объявило, что начнет включать оценку ERM в свои рейтинги нефинансовых компаний, начиная с 2009 г. [15], с первоначальными комментариями в своих отчетах за 4 квартал 2008 г. [16]
Стандарты деятельности IFC [ править ]
Стандарты деятельности Международной финансовой корпорации [17] ориентированы на управление рисками и воздействиями для здоровья, безопасности, окружающей среды и социальной сферы. Третье издание было опубликовано 1 января 2012 г. после двухлетних переговоров с частным сектором, правительствами и организациями гражданского общества. Они были приняты Equator Principles Banks, консорциумом из более чем 118 коммерческих банков в 37 странах.
Конфиденциальность данных [ править ]
Правила конфиденциальности данных, такие как Европейский Союз 's Общие данные Регулирование защиты , все более Предусмотреть значительные штрафы за неспособность поддерживать адекватную защиту отдельных лиц персональных данных , такие как имена, адрес электронной почты и личную финансовую информацию или лицо оповещения пострадавших , когда данные конфиденциальность нарушена. Регламент ЕС требует от любой организации, включая организации, расположенные за пределами ЕС, назначить сотрудника по защите данных, подчиняющегося высшему руководству [18], если они обрабатывают личные данные любого человека, проживающего в ЕС.
Актуарный ответ [ править ]
Актуарное общество по несчастным случаям [ править ]
В 2003 году Комитет по управлению рисками предприятия Актуарного общества по несчастным случаям (CAS) опубликовал свой обзор ERM. [19] В этом документе изложены эволюция, обоснование, определения и основы ERM с точки зрения актуарного анализа несчастных случаев, а также включены терминология, концептуальные и технические основы, фактическая практика и приложения, а также тематические исследования. [19]
CAS имеет конкретные заявленные цели ERM, в том числе быть «ведущим международным поставщиком учебных материалов, касающихся управления рисками предприятия (ERM) в сфере страхования имущества от несчастных случаев» [20], а также спонсирует исследования, разработки и обучение актуариев по несчастным случаям в в этом отношении. [21] CAS воздерживается от выдачи собственных учетных данных; вместо этого в 2007 году Правление CAS решило, что CAS должна участвовать в инициативе по разработке глобального обозначения ERM и принять окончательное решение позднее. [22]
Общество актуариев [ править ]
В 2007 году Общество актуариев разработало квалификацию дипломированного аналитика корпоративных рисков (CERA) в ответ на растущую область управления корпоративными рисками. [23] Это первое новое профессиональное свидетельство, введенное SOA с 1949 года. [24] CERA изучает, как различные риски, включая операционные, инвестиционные, стратегические и репутационные, объединяются, чтобы повлиять на организации. CERA работают не только в сфере страхования, перестрахования и консалтинговых услуг, но и в сфере финансовых услуг, энергетики, транспорта, СМИ, технологий, производства и здравоохранения. [24]
Для прохождения учебной программы CERA, которая сочетает в себе основы актуарных наук, принципы ERM и курс профессионализма, требуется примерно три-четыре года. Чтобы получить сертификат CERA, кандидаты должны сдать пять экзаменов, выполнить требования к получению образования, пройти один онлайн-курс и посетить один очный курс по профессионализму. [24]
CERA Global [ править ]
Первоначально все CERA были членами Общества актуариев [25], но в 2009 году статус CERA стал глобальным специализированным профессиональным сертификатом, присуждаемым и регулируемым несколькими актуарными органами. [26]
См. Также [ править ]
- Актуарная наука
- Airmic
- Базель III
- Риск выгоды
- Комитет организаций-спонсоров Комиссии Тредуэя
- Риск стоимости
- Риск кредита
- Управление качеством информации
- ISO 31000
- Рыночный риск и стратегическое планирование
- Управление операционным риском
- Предвзятость оптимизма
- Рентабельность капитала с поправкой на риск
- Склонность к риску
- Инструменты управления рисками
- RiskLab
- Оценка рисков и внутренний контроль ISA 400
- Оценка рисков SOX 404 сверху вниз
- Полное управление безопасностью
- Управление присутствием в Интернете
Ссылки [ править ]
- ↑ Томас Стэнтон (18 февраля 2017 г.). «Управление рисками предприятия» . YouTube . TEDxJHUDC.
Весь смысл корпоративного управления рисками не в том, чтобы создать еще один слой бюрократии, а в том, чтобы ваш директор по рискам помогал вести беседы, а затем обсуждать приоритеты - каковы действительно большие риски, с которыми мы должны бороться.
- ^ a b Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям : 8 . Проверено 15 сентября 2008 . Цитировать журнал требует
|journal=
( помощь ) - ^ Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям : 9–10 . Проверено 15 сентября 2008 . Цитировать журнал требует
|journal=
( помощь ) - ^ Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям : 11–13 . Проверено 15 сентября 2008 . Цитировать журнал требует
|journal=
( помощь ) - ^ "Управление рисками предприятия - Интегрированная структура: Краткое содержание" (PDF) . Комитет спонсорских организаций Комиссии Тредуэя . Сентябрь 2004 . Проверено 16 сентября 2008 . Цитировать журнал требует
|journal=
( помощь ) - ^ [1]
- ^ "Архивная копия" . Архивировано из оригинала на 2018-12-25 . Проверено 24 октября 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ Рекомендации по внедрению ERM
- ^ Часто задаваемые вопросы по ERM
- ^ Роль внутреннего аудита в ERM. Архивировано 5 сентября 2013 г. на Wayback Machine.
- ^ Стандарт аудита PCAOB № 5 Архивировано 27 июня 2007 г. в Wayback Machine
- ^ «Стандарты листинга NYSE, часть 7d» (PDF) . Архивировано из оригинального (PDF) 11 июня 2014 года . Проверено 27 августа 2017 .
- ^ S & P Рейтинги - казначейство и статьи риска архивации 2007-09-28 в Wayback Machine
- ^ S&P ERM для финансовых учреждений
- ^ Часто задаваемые вопросы по S&P ERM
- ^ Объявление S&P ERM
- ^ http://www.ifc.org/wps/wcm/connect/topics_ext_content/ifc_external_corporate_site/sustainability-at-ifc/policies-standards/performance-standards/ps1
- ^ "Отчет FERMA ECIIA по управлению киберрисками | Ferma" . www.ferma.eu . Проверено 1 октября 2018 .
- ^ a b Комитет по управлению рисками предприятия (май 2003 г.). «Обзор управления рисками предприятия» (PDF) . Актуарное общество по несчастным случаям . Проверено 15 сентября 2008 . Cite journal requires
|journal=
(help) - ^ "Цели ERM SAM" (PDF) . Цели столетия CAS и цели SAM . Актуарное общество по несчастным случаям . Март 2008 . Проверено 15 сентября 2008 .
- ^ "Корпоративный веб-сайт управления рисками" . Актуарное общество по несчастным случаям . 2008 . Проверено 15 сентября 2008 .
- ^ "Краткое содержание: Заседание Совета директоров CAS" (PDF) . Актуарное общество по несчастным случаям . 17 июня, 2007. Архивировано из оригинального (PDF) 27 июня 2010 года . Проверено 15 сентября 2008 .
- ^ «Обзор учетных данных» . Общество актуариев . 2008 . Проверено 15 сентября 2008 .
- ^ a b c «Быстрые факты о CERA» . Общество актуариев . 2008 . Проверено 15 сентября 2008 .
- ^ «Преимущества» . Общество актуариев . 2008 . Проверено 15 сентября 2008 .
- ^ "Договор CERA" . CERA Global. 2009. Архивировано из оригинала на 2015-01-12 . Проверено 12 января 2015 .
Внешние ссылки [ править ]
- Томас Стэнтон (18 февраля, 2017). «Управление рисками предприятия» . YouTube . TEDxJHUDC.
- Airmic / Alarm / IRM (2010) «Структурированный подход к управлению рисками предприятия (ERM) и требованиям ISO 31000»
- Хопкин, Пол "Основы управления рисками, 2-е издание" Коган-Пейдж (2012) ISBN 978-0-7494-6539-1