_Быков Зайковский В ПЕЧАТЬ 18.05.2022

h) Непрерывное улучшение

Менеджмент риска постоянно улучшается благодаря обучению и накоплению опыта.

Организации должны разрабатывать и внедрять стратегии совер- шенствованияриск-менеджментанарядусовсемидругимиаспектамиде- ятельности.

В целом риск-менеджмент способствует достижению целей и улучшению деятельности, например в области здоровья и безопасности людей, безопасности бизнеса, соответствия законодательным и регулирующим требованиям, общественного признания, защиты окружающей среды, качества продуктов и услуг, управления проектами, результативности деятельности, руководства и репутации.

Инфраструктура риск-менеджмента предприятия

Под инфраструктурой риск-менеджмента (risk management framework) в стандарте ISO 31000 понимается ряд компонентов, обеспечивающих основы и организационные мероприятия по разработке, внедрению, мониторингу, пересмотру и постоянному улучшению риск-ме- неджмента в масштабе всей организации. Успех риск-менеджмента зависит от эффективности инфраструктуры, предоставляющей базовые основы и мероприятия, которые должны использоваться во всей организации на всех уровнях. Инфраструктура способствует эффективному управлению рисками посредством применения процесса риск-менедж- ментанаразличных уровнях иврамках конкретнойситуации (контекста) в организации. Инфраструктура гарантирует, что информация о риске, полученная из процесса риск-менеджмента, должным образом документируется и используется в качестве основы для принятия решения и отчетности на всех соответствующих уровнях организации.

На рисунке2.9 представленысогласно ISO 31000 необходимые элементы инфраструктуры риск-менеджмента и способ, обеспечивающий их взаимосвязь итеративным образом. Приведенная из стандарта инфраструктура предназначена не для того, чтобы предписать систему управления, а скорее для того, чтобы оказать содействие организации во внедрении риск-менеджмента в свою общую систему менеджмента, а организации должны адаптировать элементы структуры для своих конкретных потребностей.

130

Структура. Общие положения

Структура менеджмента риска предназначена для обеспечения возможности интеграции процесса менеджмента риска в основные направления деятельности и функции. Эффективность менеджмента риска будет зависеть от степени интеграции в управление организацией, включая процедуры принятия решений. Это требует поддержки со стороны заинтересованных сторон, особенно высшего руководства организации.

Внедрение структуры менеджмента риска включает в себя интеграцию, проектирование и разработку, внедрение, оценку и улучшение менеджмента риска в организации. На рисунке 2.9 представлены компоненты структуры.

Рисунок 2.9. Структура риск-менеджмента стандарта ISO 31000

Организация должна оценить существующую практику и процессы менеджмента риска, выявить существующие недостатки и устранить их в рамках структуры.

Компоненты структуры и их совместная работа должны быть адаптированы к потребностям организации.

131

Лидерство и приверженность

Руководители высшего звена должны обеспечить интеграцию менеджмента риска во все направления деятельности организации, при этом необходимо демонстрировать лидерство и приверженность:

–адаптации и внедрению всех компонентов структуры;

–выпуску политики, которая устанавливает подход, план или порядок действий в отношении менеджмента риска;

–обеспечениювыделения необходимых ресурсов дляменеджмента

риска;

–установлению полномочий, ответственности и подотчетности на соответствующих уровнях организации.

Это позволит организации:

–обеспечить соответствие менеджмента риска целям, стратегии и культуре организации;

–осознавать и придерживаться всех обязательств, включая добровольные обязательства организации;

–установить уровень и тип риска, который может или не может быть использован для разработки критериев риска, а также гарантий того, что данные критерии будут доведены до организации и ее заинтересованных сторон;

–демонстрировать ценность менеджмента риска внутри организации и заинтересованным сторонам;

–поддерживать систематический мониторинг рисков;

–обеспечить соответствие структуры менеджмента риска среде организации.

Внедрение риск-менеджмента и обеспечение его постоянной эффективности требует принятия строгого и постоянного обязательства со стороны руководства организации, а также стратегического и детального планирования для выполнения обязательств на всех уровнях.

Руководство должно:

определять и поддерживать политику риск-менеджмента;

обеспечивать согласованность деятельности организации и политики риск-менеджмента;

определять показатели эффективности менеджмента риска, которые согласуются с показателями эффективности организации;

определять и согласовывать цели риск-менеджмента с целями

истратегиями организации;

132

обеспечивать соответствие обязательным требованиям;

устанавливать ответственность и обязательства на соответствующих уровнях организации;

обеспечивать распределение необходимых ресурсов для рискменеджмента;

предоставлять информацию заинтересованным сторонам о преимуществах риск-менеджмента;

обеспечивать постоянное соответствие структуры риск-менедж-

мента.

Руководители высшего звена отвечают за управление рисками, в то время как регулирующие органы отвечают за осуществление контроля над данным процессом. Регуляторы зачастую ожидают и требуют от организации:

– обеспечить адекватное рассмотрение рисков при определении целей организации;

– пониматьриски,скоторыми сталкивается организацияпри достижении своих целей;

– обеспечить эффективное внедрение и функционирование систем менеджмента риска;

– убедиться в соответствии такого рода рисков целям организации;

– обеспечить надлежащий обмен информацией о таких рисках

иуправлении ими.

Адаптация

Адаптацияменеджментариска основананапонимании организационной структуры и среды. Структуры различаются в зависимости от цели, задачи, сложности организации. Менеджмент риска осуществляется во всех элементах структуры организации. Каждый работник в организации несет ответственность за менеджмент риска.

Руководство управляет курсом организации, ее внешними и внутренними отношениями, а также правилами, процессами и практикой, необходимыми для достижения поставленной цели. Аппарат менеджмента преобразует курс руководства в стратегию и связанные с ней цели, необходимые для достижения желаемых уровней устойчивости и долгосрочной жизнеспособности. Распределение ответственности за менеджмент риска и контрольные функции внутри организации является неотъемлемой частью управления организацией.

133

Адаптация менеджмента риска в организации является динамичным и итеративным процессом, при адаптации нужно учитывать потребности и культуру организации. Менеджмент риска должен быть частью, а не отдельным элементом целей организации, ее системы управления, лидерства и приверженности, стратегии, задач и операций.

Проектирование и разработка

Понимание специфики организации и ее внутренней и внешней среды

При проектировании и разработке структуры менеджмента риска организации следует изучить и понять ее внешнюю и внутреннюю среду.

Изучение внешней среды организации может включать (но не ограничиваться):

–социальные, культурные, политические, правовые, нормативные, финансовые, технологические, экономические и экологические факторы на международном, национальном, региональном или местном уровнях;

–основные факторы и тенденции, влияющие на цели организации;

–взаимоотношения с внешними заинтересованными сторонами, их восприятие, ценности, потребности и ожидания;

–договорные отношения и обязательства;

–сложность существующих связей и зависимостей от внешних

сторон.

Изучение внутренней среды организации может включать (но не ограничиваться):

–видение, миссию и ценности;

–руководство, организационную структуру, роли и ответствен-

ности;

–стратегию, цели и политику;

–культуру организации;

–стандарты, директивы и модели, принятые организацией;

–возможности, ресурсы и накопленные знания (например,капитал, время, люди, интеллектуальная собственность, процессы, системы и технологии);

–данные, информационные системы и информационные потоки;

–отношения с внутренними заинтересованными сторонами с учетом их мнения и ценностей;

–договорные отношения и обязательства;

–взаимозависимости и взаимосвязи.

134

Демонстрация приверженности менеджменту риска

Руководители высшего звена и регуляторы, где это применимо, должны демонстрировать и формулировать свою постоянную приверженность менеджменту риска посредством политики, деклараций или других форм, которые четко отражают цели организации и следование менеджменту риска. Обязательства должны включать, но не ограничиваться:

–целью организации в отношении менеджмента риска и связи с общими целями и другими политиками;

–закреплением необходимости интегрировать менеджмент риска

вобщую культуру организации;

–интеграцией менеджмента риска в основные виды деятельности и процесс принятия решений;

–определением полномочий, обязанностей и ответственности;

–обеспечением доступа к необходимым ресурсам;

–созданием механизмов решения конфликтных задач;

–измерением показателей эффективности организации и подготовки отчетности по ним;

–пересмотром и улучшением.

Об обязательствах в отношении менеджмента риска должны быть надлежащим образом проинформированы лица внутри организации и причастные стороны.

Политика риск-менеджмента должна четко устанавливать цели организации и обязательства в отношении риск-менеджмента и, как правило, рассматривать следующее:

обоснование организации риск-менеджмента;

связи между целями, политикой организации и политикой рискменеджмента;

обязанности и обязательства в отношении риск-менеджмента;

области, имеющие противоречащие интересы, пути разрешения конфликта интересов;

обязательство обеспечения необходимыми ресурсами;

способ, которым эффективность риск-менеджмента будет измеряться и представляться (подходы для оценки эффективности и документирования риск-менеджмента);

135

обязательство анализировать и улучшать политику и систему риск-менеджмента периодически, а также в зависимости от событий или изменения обстоятельств.

Информация о политике риск-менеджмента должна предоставляться (доводиться до заинтересованных сторон) соответствующим образом.

Определение организационных ролей, полномочий, обязанностей и ответственности

Руководители высшего звена должны обеспечивать, чтобы полномочия, обязанности и ответственность за соответствующие роли в отношении менеджмента риска были определены и доведены до сведения соответствующих лиц на всех уровнях организации, что должно:

– определять перечень лиц, у которых есть ответственность и полномочия для осуществления менеджмента риска;

– подчеркивать, что менеджмент риска является одной из основополагающих обязанностей.

Организация должна гарантировать, что установлены ответствен-

ность, полномочия и соответствующая компетентность для управле-

ния риском, включая внедрение и поддержание процесса риск-менедж- мента и гарантии адекватности, результативности и эффективности любых мер управления. Этому может способствовать:

установление владельцев рисков, обладающих ответственностью

иполномочиями для управления рисками;

установление ответственных за разработку, внедрение и поддержание системы для управления риском.

установление ответственности других лиц за процесс менеджмента риска на всех уровнях организации;

установление показателей оценки результативности и внешней и/или внутренней отчетности и процессов распространения;

гарантирование признания на соответствующих уровнях.

Распределение ресурсов

Руководители высшего звена должны быть уверены в наличии не-

обходимых ресурсов для осуществления менеджмента риска, которые могут включать, но не ограничиваться:

–людьми, навыками, опытом и компетентностью;

–процессами, методами и инструментами организации, используемыми для менеджмента риска;

136

–документированными процессами и процедурами;

–системами управления информацией и знаниями;

–потребностями в профессиональном развитии и обучении. Организация должна учитывать возможности и ограничения суще-

ствующих ресурсов.

Установление механизмов обмена информацией и консультирования

Организация должна разработать и одобрить подход к обмену информацией и консультированию в целях поддержки структуры и содействия эффективному применению менеджмента риска. Обмен информацией предполагает доведение необходимой информации до целевой аудитории.

Организация должна установить механизмы внутреннего обмена информацией и предоставления отчетов для обеспечения ответственности, а также обязательств по предоставлению отчетов о рисках.

Эти механизмы должны гарантировать, что:

информация об основных элементах системы риск-менеджмента

илюбых последующих изменениях предоставляется соответствующим образом;

осуществляется соответствующее внутреннее доведение информации о системе, ее эффективности и результатах;

на соответствующих уровнях и своевременно предоставляется соответствующая информация, полученная при осуществлении менеджмента риска;

существуют процессы консультирования с внутренними заинтересованными сторонами.

Консультированиетакжеподразумевает получение обратной связи от участников процесса с целью ее учета при принятии решений и осуществлении других видов деятельности. Методы и сущность обмена информацией и консультирования должны отражать ожидания заинтересованных сторон, где это уместно.

Организация должна разрабатывать и использовать механизмы

обмена информацией с внешними заинтересованными сторонами, включая:

вовлечение соответствующих заинтересованных сторон и обеспечение эффективного обмена информацией;

137

внешнюю отчетность, соответствующую законодательным, обязательным и руководящим требованиям;

обеспечение обратной связи и отчетности об обмене информацией и консультациях;

использование обмена информацией для обеспечения конфиденциальности в организации;

обмен информацией с заинтересованными сторонами в случае кризисной ситуации или непредвиденных обстоятельств.

Внутренние и внешние механизмы должны при необходимости включать процессы сбора информации о риске из разных источников,

атакже рассмотрение степени конфиденциальности такой информации.

Обмен информацией и консультирование должны быть своевременными и обеспечивать сбор, сопоставление, обобщение и совместное использование соответствующей информации, апри необходимости– предоставление обратной связи и внедрение улучшений на ее основе.

Внедрение

Организация должна внедрять менеджмент риска путем:

разработки соответствующего плана, определяющего необходимое время и ресурсы;

определения того, где, когда, кем и как различные типы решений принимаются в рамках организации;

изменения, при необходимости, процессов принятия решений;

обеспечения четкого понимания и практической реализации механизмов управления рисками в рамках организации.

В процессе внедрения организационной структуры риск-менедж- мента организация должна:

определить подходящие временные рамки и стратегию внед-

рения;

применять политику риск-менеджмента к процессам внутри организации;

соответствовать юридическим и нормативным требованиям;

гарантировать, что процесс принятия решений, включая разработкуипостановкуцелей,соответствует результатампроцессовриск-ме- неджмента;

проводить ознакомительные и обучающие мероприятия;

138

обмениваться информацией и консультироваться с заинтересованными сторонами для гарантирования, что инфраструктура (система) риск-менеджмента остается адекватной.

Успешное внедрение структуры менеджмента риска требует участия и осведомленности заинтересованных сторон. Это позволяет организациям непосредственно учитывать неопределенность при принятии решений, а также обеспечивать принятие во внимание любой новой или последующей неопределенности по мере ее возникновения.

Риск-менеджмент должен быть встроен во все практикии процессы организации в той степени, в которой это уместно, результативно и эффективно, процесс риск-менеджмента должен стать частью процессов организации и не отделяться от существующих организационных процессов. В частности, менеджмент риска должен быть встроен в разработкуполитики,стратегическоеи бизнес-планирование и анализ, атакже в процессы управления изменениями.

Во всей организации должен существовать план риск-менедж- мента, в целях гарантии того, что политика риск-менеджмента внедрена, применяется ко всем процессам и практикам этой организации. План риск-менеджмента может быть интегрирован в другие планы организации, например в стратегический план.

Внедряя риск-менеджмент, необходимо обеспечить выполнение процессов риск-менеджмента в соответствии с планом риск-менедж- мента на всех соответствующих функциональных уровнях организации, как часть ее деятельности и процессов.

Надлежащим образом спроектированная и внедренная структура менеджмента риска гарантирует, что процесс менеджмента риска будет являться частью всей деятельности организации, включая процессы принятия решений, и что изменения во внешней и внутренней среде будут адекватно учтены.

Оценка эффективности

Для оценки эффективности структуры менеджмента риска организация должна:

периодически оценивать эффективность работы структуры менеджмента риска по отношению к целям, планам реализации, показателям и ожидаемому поведению;

определить, по-прежнему ли менеджмент риска содействует достижению целей организации.

139