Standardy řízení rizik. Národní standardy řízení rizik a principy jejich fungování

kromě mezinárodní standardyřízení rizik, existují také národní standardy řízení rizik přijaté v zemích s anglosaským právem (Austrálie, Nový Zéland, Japonsko, Velká Británie, Jižní Afrika, Kanada).

Rýže. 3 – Historie standardizace řízení rizik.

Současně s národními standardy řízení se objevily četné regulační požadavky na budování a zlepšování procesu řízení rizik společností souvisejících s oborovými specifiky. Mezi oborovými standardy řízení rizik jsou nejznámější ty, které ovlivňují činnost pojišťoven, zajišťoven (Solvency, Solvency II) a bank (Basel, Basel II, Basel III).

Standardy v oblasti řízení rizik zajišťují sjednocení:

Terminologie používaná v této oblasti;

Součásti procesu řízení rizik;

Přístupy ke stavbě Organizační strukturařízení rizik.

I přes sjednocení terminologie prováděné v rámci jednotlivých standardů řízení rizik se však metody a cíle řízení rizik v různých standardech liší. Na Obr. 3 uvádí národní a mezinárodní normy, jejichž terminologie se minimálně liší. Při pokusu o kombinaci různých norem může dojít k záměně, protože definice základních pojmů v nich je různá.

Standard „Řízení rizik organizací. Integrovaný model“, vyvinutý Výborem sponzorských organizací Treadway Commission (COSO). Tento dokument poskytuje koncepční rámec pro řízení rizik v organizacích a poskytuje podrobné pokyny, jak zavést podnikový systémřízení rizik v rámci organizace.

Proces řízení rizik organizace, jak jej interpretuje COSO, se skládá z osmi vzájemně propojených složek:

1) definice vnitřní prostředí;

2) stanovení cílů;

3) definice (identifikace) rizikových událostí;

4) posouzení rizik;

5) reakce na riziko;

6) ovládací prvky;

7) informace a komunikace;

8) monitorování.

Ve vztahu k definování složek procesu řízení rizik tedy předmětný dokument sleduje chápání procesu již stanoveného ve standardech řízení rizik.

Rýže. 4 – KOSTKA COSO.

Ve světové praxi standard, nazývaný „COSO Cube“ (obr. 4), stanovuje vztah mezi cíli organizace (strategické, operativní cíle, reporting a soulad s legislativou), organizační strukturou firmy (úrovněmi společnost, divize, obchodní jednotka, dceřiná společnost) a již identifikované součásti procesu řízení rizik.

1. Vnitřní prostředí

Pokládá základy pro přístup k řízení rizik. Zahrnuje:

představenstvo;

Filozofie řízení rizik;

Chuť k riziku;

Poctivost a etické hodnoty;

Význam kompetence;

Organizační struktura;

Delegování pravomocí a rozdělení odpovědnosti;

Standardy personálního řízení.

2. Stanovení cílů

Cíle musí být definovány dříve, než management začne identifikovat události, které mohou ovlivnit jejich dosažení.

Vedení společnosti má správně organizovaný proces výběru a formování cílů a tyto cíle odpovídají poslání organizace a míře její rizikové apetitu.

3. Hodnocení rizik

Rizika jsou analyzována na základě jejich pravděpodobnosti výskytu a dopadu, aby se určilo, jaká opatření je třeba podniknout k jejich řešení.

Rizika se posuzují z hlediska přirozeného a zbytkového rizika.

4. Identifikujte potenciální události

Vnitřní a vnější události, které mají dopad na dosažení cílů organizace, by měly být identifikovány z hlediska rizik nebo příležitostí.

Příležitosti musí management brát v úvahu při formulování strategie a stanovování cílů.

5. Reakce na riziko

Management volí metodu reakce na riziko:

únik;

Přijetí;

Pokles;

Přenos.

Vypracovaná opatření umožňují uvést identifikované riziko do souladu s přijatelnou mírou rizika a rizikového apetitu organizace.

6. Kontrolní postupy

Zásady a postupy jsou navrženy a zavedeny tak, aby poskytovaly „přiměřené“ ujištění, že na vznikající riziko je účinně a včas reagováno.

7. Informace a komunikace

Požadované informace jsou identifikovány, zaznamenány a sdělovány ve formě a časovém rámci, který zaměstnancům umožňuje plnit jejich povinnosti.

Efektivní výměna informací v rámci organizace vertikálně i horizontálně.

8. Monitorování

Celý proces řízení rizik organizace je monitorován a podle potřeby upravován.

Monitorování se provádí jako součást průběžných činností vedení nebo prostřednictvím pravidelných hodnocení.

Standard pro řízení rizik Federace evropských asociací pro řízení rizik (FERMA) je společným vývojem Institutu řízení rizik (IRM), Asociace pro řízení rizik a pojištění (AIRMIC) a Národního fóra pro řízení rizik ve veřejném sektoru (ALARM). ) (2002).

Na rozdíl od výše diskutovaného standardu COSO ERM se tento standard z hlediska použité terminologie drží přístupu přijatého v dokumentech Mezinárodní organizace pro normalizaci (ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use in Standards) . Zejména riziko je standardem definováno jako „kombinace pravděpodobnosti události a jejích důsledků“ (obr. 4).

Rýže. 5 – Proces řízení rizik podle standardů FERMA.

Řízení rizik je považováno za ústřední součást strategické řízení organizace, jejímž úkolem je identifikovat a řídit rizika. Je třeba poznamenat, že řízení rizik jako jednotný systém řízení rizik by mělo obsahovat program sledování plnění zadaných úkolů, hodnocení efektivity probíhajících činností a také motivační systém na všech úrovních organizace.

V souladu se standardem FERMA se rozlišují čtyři skupiny organizačních rizik: strategická, provozní a finanční a dále riziková rizika.

Kromě toho dokument uvádí:

1. stručný popis klíčové fáze procesu řízení rizik, v rámci kterých přitahuje pozornost Detailní popis požadavky na upřesnění informací ve zprávách o riziku v závislosti na spotřebiteli těchto informací (mezi spotřebiteli interních zpráv - představenstvo společnosti, její samostatná organizační jednotka, konkrétní zaměstnanec organizace; externí zprávy - externí dodavatelé organizace) . Zpráva o rizicích společnosti pro externí uživatele informací by měla obsahovat zejména popis:

Systémové metody interní kontrola, konkrétně popis oblastí odpovědnosti vedení organizace v otázkách řízení rizik;

Metody identifikace rizik a jejich praktická aplikace v současném systému řízení rizik organizace;

Hlavní nástroje vnitřního kontrolního systému ve vztahu k nejvýznamnějším rizikům;

Stávající mechanismy pro sledování a sledování rizik.

2. Popis organizační struktury řízení rizik (představenstvo - strukturální jednotka - risk manager), jakož i základní požadavky na rozvoj regulační dokumenty v oblasti řízení rizik na podnikové úrovni (Organizational Risk Management Program).

V příloze normy jsou uvedeny příklady metod a technologií analýzy rizik používaných v praxi. Odborníci uznávají standard řízení rizik Austrálie a Nového Zélandu jako jeden z nejkomplexnějších a nejrozvinutějších národních standardů v oblasti řízení rizik. Norma AS/NZS 4360 má obecný (neodvětvový) charakter, její hlavní ustanovení jsou přizpůsobena pro konstrukci systémů řízení rizik řadou nadnárodních společností.

Rýže. 6 – Proces řízení rizik dle AS/NZS 4360

Dle Standardu AS/NZS 4360 je řízení rizik na úrovni společnosti souborem pěti po sobě jdoucích fází a dvou end-to-end procesů (obr. 6). Řízení rizik je ve standardu zároveň chápáno jako „soubor kultury, procesů a struktur zaměřených na využití potenciálních příležitostí při současném řízení negativních dopadů“.

Fáze 1. Definice prostředí (prostředí)

Mezi faktory určujícími potřebu analyzovat a identifikovat vnitřní prostředí společnosti je třeba zdůraznit následující:

Řízení rizik musí být prováděno v kontextu definovaných cílů a záměrů organizace;

Jedním z hlavních rizik společnosti je výskyt překážek v procesu dosahování jejích strategických, provozních, projektových a dalších cílů;

Jasná formulace zásad organizační politiky a cílů společnosti pomůže určit hlavní směry firemní politiku v oblasti řízení rizik;

Cíle a cíle společnosti podle segmentů činnosti, jakož i cíle vytvořené při realizaci jednotlivých firemní projekty, je třeba posuzovat v souladu s cíli společnosti jako celku. V rámci uvažované etapy řízení rizik stanovují také rozsah cílových ukazatelů výkonnosti, sestavují seznam prvků strategie společnosti, parametry jejího fungování, které budou ovlivňovány procesy řízení rizik, a zajišťují rovnováhu možných nákladů. a přínosy (tzv. fáze identifikace prostředí řízení rizik). Rovněž by měly být stanoveny požadované zdroje a účetní postupy.

Fáze 2. Identifikace rizik

V této fázi by měla být identifikována rizika vyplývající z charakteristik vnějšího a vnitřního prostředí analyzovaných v předchozí fázi: jsou zváženy všechny možné zdroje rizik a také dostupné informace o vnímání rizik (uvědomění si rizik) zúčastněnými stranami. vnitřní vůči organizaci a vnější . Zvláštní požadavky jsou kladeny na kvalitu informací (nejvyšší možnou míru relevantnosti, úplnosti, přesnosti a aktuálnosti s ohledem na dostupné zdroje pro jejich získání) a jejich zdrojů. Je důležité, aby pracovníci zapojení do identifikace rizik měli plné znalosti procesů nebo činností, které jsou analyzovány. To druhé vyžaduje účast tento proces speciální pracovní skupiny složené z odborníků z různých oblastí.

Fáze 3. Analýza rizik

Výsledkem absolvování uvažované fáze je stanovení úrovně rizika, které odráží posouzení důsledků a pravděpodobnosti rizikových událostí. Používá se kvantitativní a kvalitativní analýza. Hodnota a dopad kvalitativní analýzy se výrazně zvýší, když definici rizika tvoří široká škála zúčastněných stran.

Fáze 4. Hodnocení rizik

Úkolem této etapy je rozhodnout o přijatelnosti/neakceptovatelnosti rizika (ve vztahu k přijatelnému riziku se neuplatňují postupy zacházení s riziky stanovené v 5. etapě posuzovaného procesu řízení rizik).

Hodnocení rizik zahrnuje studium úrovní kontroly rizikové události, nákladů na implementaci dopadu a potenciálních nákladů a přínosů spojených s rizikovou událostí. Výsledky práce odborníků v této fázi mohou vyžadovat revizi rizikových kritérií stanovených v první fázi procesu (tím je vyřešen problém zajištění toho, aby všechna významná rizika spadala do rozsahu analýzy).

Fáze 5: Léčba rizik

V této fázi se pracuje s vyhodnocenými a seřazenými riziky, ve vztahu k nimž bylo rozhodnuto o jejich nepřijatelnosti/nepřípustnosti pro společnost v souladu s kritérii stanovenými v počátečních fázích uvažovaného procesu řízení rizik. Alternativní možnosti léčby rizik:

Vyhýbání se riziku, prováděné buď ukončením činností spojených s nepřijatelnou mírou rizika pro společnost, nebo volbou jiných, přijatelnějších oblastí činnosti, které splňují cíle organizace, nebo volbou alternativní, méně rizikové metodiky ve vztahu k organizace daného procesu nebo činnosti.

Snížení pravděpodobnosti výskytu rizikové události a (nebo) možných důsledků její realizace; Je důležité vzít v úvahu, že je třeba najít rovnováhu mezi mírou rizika a náklady spojenými se snížením rizika na danou úroveň. Jsou-li vyvinuté přístupy ke snížení rizika klasifikovány jako oprávněné a zároveň mají vysoké náklady na implementaci, nutné náklady vyžadovat rozpočtování. Postupy doporučené v rámci této alternativy jsou: kontrola; zlepšování procesů; školení a rozvoj zaměstnanců; audit a zjištění souladu se stanovenými pravidly.

Sdílení rizika s třetími stranami. Je třeba vzít v úvahu, že převodce čelí novému riziku spojenému s neschopností organizace přijímající riziko jej efektivně řídit.

Zachování rizika. Tato alternativa se vztahuje na zbytková a nezjištěná rizika.

Závěr

Navzdory rozdílům v cílech a metodách řízení rizik každá norma potvrzuje potřebu kontinuity procesů monitorování a kontroly rizik.

Hodnocení rizik je nedílnou součástí řízení rizik, které zahrnuje strukturovaný proces k identifikaci toho, které organizační cíle mohou být riziky ovlivněny. Hodnocení rizik se používá k analýze rizik z hlediska důsledků a jejich pravděpodobnosti, než se organizace v případě potřeby rozhodne o dalším postupu.

Hodnocení rizik poskytuje osobám s rozhodovací pravomocí a odpovědným stranám jasné pochopení rizik, která mohou ovlivnit dosažení cílů, a také informace o přiměřenosti a účinnosti kontrol. Norma poskytuje základ pro rozhodování o nejvhodnějším přístupu a bude sloužit k rozhodování o konkrétních rizicích a také při volbě mezi různými možnostmi.

Výběr konkrétního standardu jako hlavního pro podnik je vážný úkol, někdy organizace používá několik standardů současně, což vede k nejistotám v procesech řízení rizik. Volba normy pro řízení rizik nebo její vyvážené rozšíření vyžaduje podrobné pochopení požadavků každé normy a způsobů jejich praktické aplikace (implementace), a také závisí na úrovni vyspělosti jak procesů řízení rizik, tak informačních technologií organizace. řídící procesy.

Seznam použité literatury.

1. GOST 1.1-2002 „Mezistátní normalizační systém. Termíny a definice".

2. GOST R 51897 – 2002 „Řízení rizik. Termíny a definice".

3. Řízení organizačních rizik. Integrovaný model. Shrnutí COSO, 2004.

4. Řízení organizačních rizik. Integrovaný model // „Řízení rizik“, č. 5–6, 7–8, 9–10, 11–12, 2007; 1–2, 2008.

5. Standardy řízení rizik Federace evropských asociací manažerů rizik, 2003.

6. J. Philopoulos. Tvorba politiky a institucionální rámec pro hodnocení rizik v EU. Doporučení pro vytvoření systému hodnocení rizik v ČR.

7. AS/NZS 4360:2004 – Risk Management, vydané Standards Australia.121

8. CSA (1997) Řízení rizik: Směrnice pro osoby s rozhodovací pravomocí – Národní standard Kanady / Kanadská asociace pro standardy (1997 znovu potvrzeno v roce 2002) CAN/CSA-Q850-97.

9. Návrh mezinárodní normy ISO/DIS 31000 „Řízení rizik – Zásady a pokyny pro implementaci“, ISO, 2008.

10. Kevin W. Knight. Řízení rizik – cesta, žádný cíl. leden 2006.

11. Kevin W. Knight. Řízení rizik: nedílná součást podnikového řízení a dobrého řízení. ISO Bulletin, říjen 2003.

12. Marc Saner. Informační stručná informace o mezinárodních standardech řízení rizik. Institute On Governance, Kanada, 30. listopadu 2005.

13. Řízení podnikových rizik – Integrovaný rámec Shrnutí.-Výbor sponzorské organizace Treadway Commission (COSO), 2004.

14. GOST R 51898-2002 Bezpečnostní hlediska. Pravidla pro zařazení do norem.

Související informace.

V současné době je v Rusku obrovské množství státní normy, z nichž jen malou část, necelé 1 %, tvoří standardy související s podnikatelskými riziky, ale tento typ rizika je pro každý podnikatelský subjekt nesmírně důležitý. Světová praxeřízení rizik považuje standard za model, o který je třeba usilovat. Existuje jen málo standardů v řízení rizik. Kořeny stávajících ruských standardů řízení rizik a také obrovské množství doporučených oborových postupů přitom pocházejí ze zahraničí a pokládají základy pro principy zahraniční reality.

Pro obecnou představu o standardech řízení rizik se musíte seznámit s některými z nich: standard FERMA, některé postuláty zákona Sarbanes-Oxley, standard COSO II a jihoafrický standard - KING II.

Standard řízení rizik FERMA byl vyvinut společně Institutem pro řízení rizik ve Spojeném království, Asociací pojištění a řízení rizik a Národním fórem pro řízení rizik ve veřejném sektoru (The National Forum for Risk Management in the Public Sector) a přijat v roce 2002. Schéma obsažené v dokumentu slouží jako základ pro zavedení systému řízení rizik. Tyto standardy řízení rizik obsahují: definici rizika, řízení rizik, vysvětlení vnitřních a vnějších rizikových faktorů, procesy řízení rizik, postupy hodnocení rizik, metody a technologie analýzy rizik, činnosti v oblasti řízení rizik, jakož i odpovědnosti manažera rizik. Podle tohoto dokumentu je riziko považováno za kombinaci pravděpodobnosti a její události a řízení rizik je považováno za ústřední součást strategického řízení organizace. Například hlavní funkce specialisty na rizika podle standardu FERMA jsou vývoj a implementace programu řízení rizik, koordinace interakce různých strukturálních divizí organizace, vývoj programů pro snížení neplánovaných ztrát a organizace opatření k udržení kontinuitu obchodních procesů. Hlavní myšlenkou této normy je, že přijetí normy je nezbytné k dosažení shody v používané terminologii, procesu praktické aplikace řízení rizik, organizační struktuře řízení rizik a cílech řízení rizik. Je zvláště důležité pochopit, že řízení rizik není jen nástrojem pro komerční a veřejné organizace, ale vodítkem pro jakoukoli akci (krátkodobě i dlouhodobě).

Jednou z mála právně schválených norem v oblasti řízení rizik je Sarbanes-Oxley Act. Tento zákon řeší především otázky vnitřní kontroly a spolehlivosti účetní závěrky, a také nepřímo reguluje proces řízení rizik. Zákon neposkytuje návod na vývoj konkrétních postupů finanční kontroly. Standard nabízí analýzu vstupních procesních dat a ověření souladu prostřednictvím auditu.

V roce 2001 inicioval Výbor sponzorských organizací Treadway Commission (COSO) spolu s PriceWaterHouseCoopers projekt rozvoje principů řízení rizik (Enterprise Risk Management - Integrated Framework). Řízení rizik je v souladu s vyvinutými principy proces, který pokrývá celou činnost podniku, do kterého jsou zapojeni zaměstnanci na různých úrovních řízení; nástroj, který vám umožní dosáhnout vašich strategických cílů; technologie pro identifikaci a řízení rizik; způsob, jak pojistit činnost podniku proti případným chybám managementu nebo představenstva.

Jihoafrický standard "KING II" je kolekce standardní řešení v praxi řízení rizik je neustále aktualizován a slouží jako návod pro školení risk manažerů. V tento standard není věnována pozornost konkrétnímu konkrétnímu podnikání a corporate governance, ale zároveň je jasně vyjádřena ideologie procesu a požadované fáze. Pečlivé přizpůsobení postupů specifikům konkrétní společnosti tak může vést k požadovanému výsledku.

Je třeba říci, že většina analyzovaných standardů – „COSO II“, „FERMA“ – funguje na základě dohody jejich účastníků. Jednou z mála právně schválených norem v oblasti řízení rizik je Sarbanes-Oxley Act. Tento zákon však nezaručuje úspěšnost akcí a postupů.

Stávající zahraniční standardy pro budování systému řízení rizik, jak ukazuje praxe, jsou však v ruské realitě špatně použitelné, nebo částečně použitelné. Proto v Ruská Federace Na základě zahraničních vypracovali vlastní standardy v oblasti řízení rizik, u kterých se podrobněji zastavíme.

Standardy řady 51901 „Řízení rizik“ poskytují obecný návod v oblasti aplikace řízení rizik v podniku, obsahují metody pro použití různých metod hodnocení rizik s přihlédnutím ke specifikům použití konkrétní metody při hodnocení jednotlivých podnikatelských rizik. Tedy GOST R 51901.1-2002 „Řízení rizik. Analýza rizik technologických systémů“ stanoví směrnice pro výběr a zavádění metod analýzy rizik, zejména pro hodnocení rizik technologických systémů; GOST R 51901.2-2005 „Řízení rizik. Systémy řízení spolehlivosti“ popisuje koncepty a principy systému řízení spolehlivosti, definuje hlavní procesy tohoto systému (procesy plánování, sdílení zdrojů, řízení a adaptace) a úkoly spolehlivosti ve fázích životní cyklus produkty související s plánováním, návrhem, měřením, analýzou a zlepšováním; GOST R 51901.3-2007 „Řízení rizik. Příručka řízení spolehlivosti“ obsahuje pokyny pro řízení spolehlivosti při návrhu, vývoji, hodnocení produktů a zlepšování procesů; GOST R 51901.4-2005 „Řízení rizik. Pokyny pro použití v designu“ stanoví obecná ustanovenířízení rizik při projektování, jeho dílčí procesy a ovlivňující faktory; GOST R 51901.5-2005 „Řízení rizik. Průvodce aplikací metod spolehlivostní analýzy“ obsahuje stručný přehled běžně používaných metod spolehlivostní analýzy, popis hlavních metod a jejich výhody a nevýhody, vstupní data a další podmínky použití; GOST R 51901.6-2005 „Řízení rizik. Program zlepšování spolehlivosti“ stanovuje požadavky a poskytuje doporučení pro odstranění slabých míst hardwarových objektů a software za účelem zvýšení spolehlivosti; GOST R 51901.10-2009 „Řízení rizik. Postupy pro řízení požárního rizika v podniku“ obsahuje hlavní ustanovení řízení požárního rizika a stanoví základní principy pro analýzu a výklad požárního rizika; GOST R 51901.11-2005 „Řízení rizik. Studie rizik a výkonu. Aplikační příručka poskytuje návod k vyšetřování nebezpečí a výkonu systému pomocí sady kontrolních slov definovaných v této normě a také poskytuje návod k použití vyšetřovací metody a postupů HAZOP, včetně definice, přípravy, zkoumání a konečné dokumentace; GOST R 51901.12-2007 „Řízení rizik. Metoda analýzy druhů a důsledků poruch“ stanoví metody analýzy typů a důsledků poruch, typů, důsledků a kritičnosti poruch a poskytuje doporučení pro jejich použití; GOST R 51901.13-2005 „Řízení rizik. Analýza stromu chyb“ zavádí metodu analýzy stromu chyb a poskytuje návod k její aplikaci; GOST R 51901.14-2007 „Řízení rizik. Blokový diagram spolehlivosti a booleovské metody“ popisuje metody pro konstrukci modelu spolehlivosti systému a použití tohoto modelu k výpočtu indikátorů jeho spolehlivosti a dostupnosti; GOST R 51901.15-2005 „Řízení rizik. Aplikace Markovových metod“ stanoví směrnice pro aplikaci Markovových metod pro analýzu spolehlivosti; GOST R 51901.16-2005 „Řízení rizik. Zvýšená spolehlivost. Statistická kritéria a metody hodnocení“ popisuje modely a kvantitativní metody pro hodnocení zlepšení spolehlivosti na základě údajů o selhání systému získaných v souladu s programem zlepšování spolehlivosti. Tyto postupy umožňují určit bodové odhady intervaly spolehlivosti a testovat hypotézy pro charakteristiky zvýšení spolehlivosti systému.

Standardy řady 51901 „Řízení rizik“ tedy podrobně popisují použití různých metod a přístupů k hodnocení a analýze rizik, zaměřených konkrétně na jejich praktickou implementaci a použití v podniku. Pro srozumitelnost mnoho norem pojednává o praktických příkladech.

Normy v oblasti řízení rizik řady IEC, ISO vycházejí z překladu mezinárodních norem vypracovaných Mezinárodní elektrotechnickou komisí, Mezinárodní organizací pro normalizaci ISO. Hlavními objekty standardizace ISO jsou odvětví: strojírenství, chemie, rudy a kovy, informační technologie, stavebnictví, lékařství a zdravotnictví, životní prostředí, systémy zajišťování kvality. Normy IEC jsou specifičtější než normy ISO a jsou vhodnější pro přímou aplikaci. IEC přikládá velký význam vývoji bezpečnostních norem - hlavní cíl standardizace v oblasti bezpečnosti je hledání ochrany proti různé typy nebezpečí.

Rozsah činností IEC zahrnuje: úrazová nebezpečí, elektrická nebezpečí, nebezpečí výbuchu, radiační nebezpečí zařízení, vč. a před ionizujícím zářením, biologickým nebezpečím atd. Například GOST R IEC 62305-1-2010 „Řízení rizik. Ochrana před bleskem. Část 1. Obecné zásady“ stanoví obecné zásady ochrany před bleskem budov, staveb a jejich částí včetně osob v nich, inženýrských sítí souvisejících s budovou (stavbou) a jinými objekty; GOST R ISO 17776-2010 „Řízení rizik. Pokyny pro výběr metod a nástrojů identifikace nebezpečí a hodnocení rizik pro zařízení na těžbu ropy a zemního plynu na moři“ uvádí popis hlavních metod doporučených pro identifikaci nebezpečí a hodnocení rizik souvisejících s rozvojem a provozem pobřežních ropných a plynových polí, včetně seismických průzkum, topografické průzkumy, průzkumné a vývojové vrty, terénní rozvoj, včetně poskytování zdrojů, jakož i vyřazování z provozu a likvidace souvisejícího vybavení; GOST R ISO 17666-2006 „Řízení rizik. Space Systems“ stanoví zásady a požadavky pro integrované řízení rizik pro vesmírný projekt, na základě kterých je integrovaná podniková politika implementována do systému řízení rizik během realizace projektu každým účastníkem projektu na všech úrovních (spotřebitel, nejprve -dodavatel úrovně, dodavatelé nižší úrovně); GOST R IEC 61160-2006 „Řízení rizik. Formal Design Review poskytuje návod k provádění postupů přezkoumání návrhu jako prostředku ke zlepšení produktu a procesu. Norma poskytuje vodítko pro plánování a provádění revizí projektů a poskytuje podrobné popisy účasti specialistů na spolehlivost v revizi. údržba, opravy a zajištění výkonu.

Společný programový výbor ISO/IEC je odpovědný za sdílení odpovědností obou organizací v otázkách souvisejících související oblasti technologie, normy vyvinuté výborem zahrnují ISO/IEC 16085:2006 „Vývoj systémů a softwaru. Procesy životního cyklu. Risk Management“ a identický GOST R ISO/IEC 16085-2007 „Risk Management. Aplikace v procesech životního cyklu systémů a softwaru“, která zavádí proces řízení rizik pro objednávání, dodávání, vývoj, provoz a údržbu softwaru.

Kromě uvedených norem souvisejících s řízením ekonomických rizik existují i ​​specializované, které upravují proces řízení rizik v oblastech jako je medicína, ekologie, informační technologie atd.

V současné době si profesionálové uvědomili, že aby tvořili efektivní systémřízení rizik, je nutné vypracovat jednotný základ pro regulační rámec systému řízení rizik organizace. Ale vzhledem k tomu, že existuje mnoho způsobů, jak tohoto cíle dosáhnout, je téměř nemožné spojit všechny směry do jednoho dokumentu. Proto stávající standardy řízení rizik nejsou zamýšleny jako normativní. Avšak dodržováním složek diskutovaných standardů a výběrem různých metod a metod budou organizace schopny dosáhnout svých cílů z hlediska řízení rizik.

Literatura

1. Potapkina M. Standardy řízení rizik: metody aplikace v ruské realitě [ Elektronický zdroj]. Režim přístupu: www.buk.irk.ru/library/potapkina1.doc.

2. Mezinárodní standardy řízení rizik.“ Vzdělávací a metodická příručka [Elektronický zdroj]. Režim přístupu: www.minzdravsoc.ru/.../Mezhdunarodnye_standarty_upravleniya_riskami.doc.

3. Mezinárodní standardizace. ISO. IEC [Elektronický zdroj]. Režim přístupu: http://www.asu-tp.org/index.php?option

Řízení rizik jako technologie řízení zažívá v posledních 10-15 letech období aktivního rozvoje v zahraničí i v Rusku. Zvláště důležitá je otázka rozvoje společného chápání cílů a cílů systému řízení rizik, používané terminologie, organizační struktury a samotného procesu řízení rizik, přizpůsobeného moderním ruským podmínkám. Světová praxe nabízí jeden z univerzálních přístupů k řešení tohoto problému – sjednocení a standardizaci v oblasti řízení rizik.

Podle definice Mezinárodní organizace pro normalizaci (ISO) je norma normativní dokument, který je vypracován na základě konsensu, přijat orgánem uznaným na příslušné úrovni a stanoví pro univerzální a opakované použití pravidla, obecné zásady a charakteristiky týkající se různých typů činností nebo jejich výsledků, a která je zaměřena na dosažení optimálního stupně pořádku v určité oblasti. Normy by měly být založeny na kombinovaných výsledcích vědy, techniky a praktických zkušeností a měly by být zaměřeny na dosažení optimálního prospěchu pro společnost

V posledních letech existuje jasná tendence replikovat v řadě zemí, včetně Ruska, standardy řízení rizik, které byly poprvé vyvinuty před 10–15 lety a týkaly se především nebezpečí způsobených člověkem. Patří mezi ně GOST 27.310-95 „Analýza typů, důsledků a kritičnosti poruch“, GOST R 51901-2002 „Řízení spolehlivosti. Analýza rizik technologických systémů“, GOST R 51897‑2002 „Řízení rizik. Termíny a definice“, stejně jako GOST ISO/TO 12100-1 a 2 – 2002 „Bezpečnost zařízení. Základní pojmy, obecné principy návrhu“ a další.

GOST R 51901.2-2005 Řízení rizik. systémy řízení spolehlivosti,

GOST R 51901.13-2005 Řízení rizik. Analýza stromu chyb a řada dalších Během 5-6 let bylo vyvinuto 8 standardů řízení rizik a tato práce není zdaleka dokončena. V roce 2009 byla připravena a v srpnu 2010 přijata nová norma - ISO 31000 „Obecné pokyny k principům a implementaci řízení rizik“.

Zvýšená pozornost konzultantů pro řízení rizik působících v ruský trh, je uveden v dokumentu „Řízení rizik organizací. Integrovaný model" vyvinutý Výborem sponzorských organizací Treadway Commission (COSO)

Ruská společnost pro řízení rizik kromě doporučení COSO zvažuje Standard řízení rizik Federace evropských asociací manažerů rizik (FERMA), který je společným vývojem Institutu řízení rizik (IRM), Asociace řízení rizik a pojišťovnictví (AIRMIC) a Národní fórum pro řízení rizik ve veřejném sektoru (ALARM) (2002).

Normy COSO a FERMA. V dokumentu „Řízení rizik organizací. Integrovaný model“, vyvinutý Výborem sponzorských organizací Treadway Commission (COSO), poskytuje důvody pro vypracování konceptů pro konstrukci RMS a doporučení pro implementaci racionálního postupu pro jeho vytvoření.

Nicméně domácí nezisková organizace RusRisk také doporučuje standard řízení rizik Federace evropských asociací manažerů rizik (FERMA), vytvořený v roce 2002 Institutem řízení rizik (IRM), asociací řízení rizik a pojišťovnictví (AIRMIC) a Národní fórum pro řízení rizik ve veřejném sektoru.

Na Obr. 5.2 a 5.3 představují procesy řízení rizik ve standardech COSO a FERMA.

Rýže. 5.2.

Rýže. 5.3.

Norma FERMA vychází z terminologie Mezinárodní organizace pro standardizaci (ISO/IEC Guide 73:2002 Risk management – ​​Termíny a definice). Na rozdíl od standardů jednotlivých zemí tedy standard FERMA definuje riziko jako „kombinaci pravděpodobnosti události a jejích důsledků“, což je omezení dokumentu. RMS ve standardu FERMA je zároveň středem systému řízení strategie a jako nejdůležitější jsou jmenována strategická, provozní a finanční rizika a nebezpečí.

Norma FERMA také obsahuje:

• ? stručný popis hlavních prvků postupu řízení rizik s přihlédnutím k závislosti obsahu informace na typu jejího příjemce;
• ? seznam organizačních jednotek zapojených do práce RMS a hlavní požadavky na zpracování dokumentace doprovázející řízení rizik.

Standard FERMA je vhodné používat v korporacích, které se více angažují výrobní sektor, nebo z ekonomického hlediska v reálném sektoru ekonomiky.

• ? riziko je kombinací pravděpodobnosti události a jejích důsledků;
• ? spoléhání se na systémový přístup;
• ? optimalizace postupů řízení rizik na základě analýzy obchodních procesů, obsahu, příznivých a nepříznivých faktorů;
• ? efektivní řízení kapitál a zdroje;
• ? snížení míry nejistoty vlivu faktorů;
• ? respektování zájmů vlastníků a zlepšování image organizace;
• ? zlepšování dovedností pracovníků a vytváření organizační základ znalost;
• ? optimalizace obchodních procesů.

Standardy COSO jsou určeny především pro použití ve firemních strukturách aktivně zapojených do obchodování na burze.

V souladu s tímto standardem je RMS založena na následujících ustanoveních:

• ? hodnocení rizikového apetitu, určeného strategickými cíli organizace;
• ? zlepšení postupů pro vývoj adekvátních opatření ve vztahu k rizikům;
• ? snížení úrovně environmentální nejistoty;
• ? identifikace maximálního seznamu rizik a jejich ovlivňování;
• ? identifikace příznivých faktorů a realizace nabízených příležitostí;
• ? efektivní řízení kapitálu.

Srovnání vývoje obsahu norem (např. australské, americké) ukazuje jejich postupný přechod do zobecněnější podoby s zvýrazněním klíčových fází procesu regulace rizikových faktorů. Vývoj standardů řízení rizik včetně jejich modernizace a doplňování v jednotlivých zemích navíc naznačuje, že tyto procesy nemohou skončit, neboť obchodní kontext se neustále mění a vznikají nová nebezpečí, hrozby a rizika.

Nové mezinárodní standardy. Vývoj mezinárodních standardů pokračuje. Jednotnost pojmů zajišťuje ISO/IEC Guide 73:2002 „Řízení rizik. Termíny a definice“ (ISO/IEC Guide 73 „Risk Management Vocabulary Guidelines for use in Standards“), publikovaná v roce 2002.

V roce 2009 Mezinárodní organizace pro standardizaci zveřejněná norma ISO 31000 „Řízení rizik. Principy a směrnice pro implementaci. Standardy byly také vytvořeny pro jednotlivé druhyčinnosti (ropa a plyn, výroba lékařského vybavení atd.).

Norma ISO 31000 byla vyvinuta na základě již zmíněné australské a novozélandské normy. Proces řízení rizik v normě ISO je uveden na Obr. 5.4. Jak vyplývá z Obr. 5.1 a 5.4 jsou vývojové diagramy procesu řízení rizik v normě ISO a normě Austrálie a Nového Zélandu velmi podobné. Kromě rozdílů ve výkladu prvků s podobnými názvy se však norma ISO vyznačuje současnou implementací procesů identifikace, analýzy a hodnocení rizik, což australská a novozélandská norma nestanoví.

Stanovení kontextu zahrnuje analýzu vnějšího a vnitřního prostředí organizace, a to:

• ? navázání vnějšího kontextu - posouzení spojení s vnější prostředí a vnější hrozby;
• ? stanovení vnitřního kontextu - určení prvků systému reprezentujících organizaci, vnitřní vazby, zajištění zdrojů, cílové a strategické cíle;
• ? stanovení kontextu řízení rizik – zdůraznění procesů, které může RMS ovlivnit;
• ? identifikace rizikových kritérií, jimiž se určuje potřeba ovlivňovat a která mohou patřit do sféry obchodní organizace, technologie, práva, ekonomiky, sociální a environmentální problematiky atd., odrážejí postoj zúčastněných k riziku, ustanovení předpisy

Rýže. 5.4.

Soudruh Mezi tato kritéria patří zejména výsledky hodnocení provádění rizikových faktorů;

Popis systému řízení rizik podle divizí.

Během hodnocení rizik jsou paralelně implementovány také následující procesy:

• ? identifikace rizik - zjišťují se pravděpodobné zdroje rizikových faktorů a hodnotí se výsledky jejich realizace;
• ? analýza rizik - jsou stanoveny pravděpodobnosti a výsledky implementace rizikových faktorů. Analýza může být kvalitativní, kvantitativní nebo smíšená metoda;
• ? hodnocení rizik - na základě výsledků analýzy rizik je v procesu hodnocení na základě kritérií rizik identifikováno riziko, které může být ovlivněno.

• ? ošetření rizik - zvolí se racionální postup pro ovlivnění rizika, sestaví a implementuje se plán dopadů, posoudí a popíše se zbytkové riziko. Při plánování zpracování se stanoví: obsah dopadového řízení a požadované zdroje, rozdělení práv a odpovědností, efektivita postupu, obsah reportovací dokumentace a technologie monitoringu;
• ? sledování a revize - průběžná dokumentace všech činností a jejich následků.

Integrovaný postup řízení rizik se skládá z několika prvků.

• 1. Plánování postupu řízení rizik. Tento postup řízení musí být integrován do politiky organizace, strategie, správy aktiv a pasiv, správy investic, auditu, protikriminálních technologií atd.
• 2. Tvorba politiky řízení rizik. Politika musí být zdokumentována a obsahovat popis: nastavení cílů a technologie řízení, vztahu mezi obsahem politiky a strategiemi, postupy pro ovlivňování rizika, postupy pro pomoc osobám zapojeným do řízení rizik, postupy pro měření a dokumentaci procesu řízení , postupy pro periodické měření RMS, funkce vrcholového managementu ve vztahu k procesu řízení.

Na rozdíl od konceptu COSO, kde je řízení rizik prezentováno jako proces zaměřený na identifikaci událostí a řízení rizik s nimi spojených, normy ISOŘízení rizik je koordinovaná činnost pro řízení a kontrolu organizace, která bere v úvahu rizika. V souladu s tím je proces řízení rizik systematickým uplatňováním zásad, postupů a praktik řízení na činnosti sdělování, konzultací, uvádění do kontextu a identifikace, analýzy, hodnocení, řešení, monitorování a přezkoumávání rizik.

Model RMS popsaný ve standardu (obr. 5.5) je navržen pro zlepšení efektivity řízení organizace.

V přílohách standardu je uvedeno:

• ? potřeba neustálého zlepšování procesů řízení a komunikace;
• ? důležitost stanovení odpovědnosti, kontroly a praktické provedení postupy řízení rizik;
• ? dominantní roli řízení rizik ve struktuře organizace.