Bir risk yönetimi standardının geliştirilmesi için öneriler. Ulusal risk yönetimi standartları ve bunların işleyiş ilkeleri

standartlar COSO ve FERMA. “Kuruluşların Risk Yönetimi” belgesinde. Treadway Komisyonu Sponsor Kuruluşlar Komitesi (COSO) tarafından geliştirilen entegre model”, bir RMS oluşturmak için kavramların geliştirilmesine ve oluşturulması için rasyonel bir prosedürün uygulanmasına yönelik tavsiyelere temel sağlar.

Ancak, yurtiçi kar amacı gütmeyen kuruluş RusRisk ayrıca 2002 yılında Risk Yönetimi Enstitüsü (IRM) tarafından oluşturulan Avrupa Risk Yöneticileri Dernekleri Federasyonu'nun (FERMA) risk yönetimi standardını da önerir. risk yönetimi ve sigorta (AIRMIC) ve Kamu Sektöründe Risk Yönetimi Ulusal Forumu.

Şek. Şekil 5.2 ve 5.3, COSO ve FERMA standartlarındaki risk yönetimi süreçlerini göstermektedir.

Pirinç. 5.2.

Pirinç. 5.3.

FERMA standardı, Uluslararası Standardizasyon Örgütü terminolojisine dayanmaktadır (ISO/IEC Guide 73:2002 "Risk yönetimi. Terimler ve tanımlar"). Bu nedenle, tek tek ülkelerin standartlarından farklı olarak, FERMA standardı riski, belgenin bir sınırlaması olan “bir olayın olasılığı ve sonuçlarının bir kombinasyonu” olarak tanımlar. Aynı zamanda, FERMA standardındaki RMS, strateji yönetim sisteminin merkezine yerleştirilmekte ve stratejik, operasyonel ve finansal riskler ve tehlikeler en önemli olarak adlandırılmaktadır.

FERMA standardı ayrıca şunları içerir:

• ? bilgi içeriğinin alıcının türüne bağımlılığını dikkate alarak, risk yönetimi prosedürünün ana unsurlarının kısa bir açıklaması;
• ? RMS'nin çalışmasına dahil olan organizasyonel birimlerin bir listesi ve risk yönetimine eşlik eden belgelerin oluşturulması için temel gereksinimler.

FERMA standardının daha çok ilgili olan kurumlarda kullanılması tavsiye edilir. Üretim alanı veya ekonomik anlamda, ekonominin reel sektöründe.

• ? risk, bir olayın olasılığı ile sonuçlarının bir birleşimidir;
• ? güvenmek sistem yaklaşımı;
• ? iş süreçleri, içerik, olumlu ve olumsuz faktörlerin analizine dayalı risk yönetimi prosedürlerinin optimizasyonu;
• ? sermaye ve kaynakların verimli yönetimi;
• ? faktörlerin etkisinin belirsizliğinin azaltılması;
• ? sahiplerinin çıkarlarının gözetilmesi ve kuruluşun imajının iyileştirilmesi;
• ? çalışanların mesleki gelişimi ve kurumsal bir bilgi tabanının oluşturulması;
• ? iş süreçlerinin optimizasyonu.

COSO standartları, büyük ölçüde döviz ticaretine aktif olarak katılan kurumsal yapılarda uygulanmaya yöneliktir.

Bu standarda göre, RMS aşağıdaki hükümlere dayanmaktadır:

• ? kuruluşun stratejik hedefleri nedeniyle risk iştahının değerlendirilmesi;
• ? risklerle ilgili olarak yeterli eylemlerin oluşturulması için prosedürlerin iyileştirilmesi;
• ? çevrenin belirsizlik seviyesinin düşürülmesi;
• ? maksimum risk listesinin ve bunlar üzerindeki etkilerin belirlenmesi;
• ? elverişli faktörlerin belirlenmesi ve verilen şansların gerçekleştirilmesi;
• ? etkin sermaye yönetimi.

Standartların içeriğinin evriminin karşılaştırılması (örneğin Avustralya, Amerikan), risk yönetimi sürecinin temel aşamalarını vurgulayarak, daha genelleştirilmiş bir forma kademeli geçişlerini göstermektedir. Ayrıca, modernizasyonları ve bireysel ülkelerde eklenmesi de dahil olmak üzere risk yönetimi standartlarının geliştirilmesi, iş bağlamı sürekli değiştiği ve yeni tehlikeler, tehditler ve riskler ortaya çıktığı için bu süreçlerin sona eremeyeceğini göstermektedir.

Yeni uluslararası standartlar. Uluslararası standartların gelişimi devam etmektedir. Terimlerin tekdüzeliği ISO/IEC Guide 73:2002 “Risk yönetimi. Terimler ve tanımlar” (ISO/IEC Guide 73 “Standartlarda kullanım için Risk Yönetimi Kelime Kılavuzu”), 2002'de yayınlandı.

2009 yılında Uluslararası Standardizasyon Örgütü ISO 31000 “Risk Yönetimi”ni yayınladı. Uygulamaya ilişkin ilkeler ve yönergeler" (Risk Yönetimi. Uygulamaya ilişkin ilkeler ve yönergeler). standartlar da var belirli türler faaliyetler (petrol ve gaz, tıbbi ekipman üretimi vb.).

ISO 31000 standardı, daha önce bahsedilen Avustralya-Yeni Zelanda standardı temelinde geliştirilmiştir. ISO standardındaki risk yönetimi süreci, Şekil 2'de gösterilmektedir. 5.4. Şekilden aşağıdaki gibi. 5.1 ve 5.4, ISO standardı ve Avustralya/Yeni Zelanda standardındaki risk yönetimi süreç şemaları çok benzerdir. Bununla birlikte, isme benzer unsurların yorumlanmasındaki farklılıklara ek olarak, ISO standardı, Avustralya-Yeni Zelanda standardında sağlanmayan tanımlama, analiz ve risk değerlendirmesi süreçlerinin eşzamanlı uygulanması ile karakterize edilir.

Bir bağlam oluşturma dışsal bir analiz içerir ve İç ortam kuruluşlar, yani:

• ? harici bir bağlam oluşturma - bağlantıların değerlendirilmesi dış ortam ve dış tehditler;
• ? bir iç bağlam oluşturmak - bir organizasyonu temsil eden bir sistemin öğelerini, iç ilişkileri, kaynak desteğini, hedef ve stratejik ayarları belirlemek;
• ? risk yönetimi bağlamının belirlenmesi - RMS'nin etkileyebileceği süreçlerin vurgulanması;
• ? etkileme ihtiyacının belirlendiği ve iş organizasyonu, teknoloji, hukuk, ekonomi, sosyal ve Çevre sorunları vb., riske dahil olan kişilerin tutumunu, düzenleyici hükümlerini yansıtır.

Pirinç. 5.4.

yoldaş Bu tür kriterler, özellikle, risk faktörlerinin uygulanmasının değerlendirilmesinin sonuçlarını;

Departmanlar tarafından işlenecek risk yönetim sisteminin tanımı.

Risk değerlendirmesi sırasında paralel olarak aşağıdaki süreçler de uygulanmaktadır:

• ? risk tanımlama - olası risk faktörleri kaynakları belirlenir ve bunların uygulanmasının sonuçları değerlendirilir;
• ? risk analizi - risk faktörlerinin uygulanmasının olasılıkları ve sonuçları belirlenir. Kalitatif veya kantitatif analiz veya birleşik yöntemler kullanılarak analiz yapılabilir;
• ? risk değerlendirmesi - risk analizinin sonuçlarına dayanarak, risk değerlendirme süreci etkilenebilecek riski tanımlar.

• ? risk tedavisi - riski etkilemek için rasyonel bir prosedür seçilir, bir eylem planı hazırlanır ve uygulanır, kalan risk değerlendirilir ve tanımlanır. İşleme planlanırken aşağıdakiler belirlenir: etki prosedürünün içeriği ve gerekli kaynaklar, hak ve yükümlülüklerin dağılımı, prosedürün etkinliği, içerik raporlama belgeleri ve izleme teknolojisi;
• ? izleme ve gözden geçirme - tüm faaliyetlerin ve sonuçlarının sürekli belgelenmesi.

Entegre risk yönetimi prosedürü birkaç unsurdan oluşur.

• 1. Risk yönetimi prosedürünün planlanması. Bu prosedür yönetim, kuruluşun politikasına, stratejisine, varlık ve yükümlülük yönetimine, yatırım yönetimine, denetime, suçla mücadele teknolojilerine vb. entegre edilmelidir.
• 2. Risk yönetimi politikasının oluşturulması. Politika belgelenmeli ve aşağıdakilerin bir tanımını içermelidir: hedef ayarları ve yönetim teknolojisi, politikanın içeriği ile stratejiler arasındaki korelasyon, riski etkileme prosedürleri, risk yönetimine dahil olan kişilere yardım etme prosedürleri, yönetim sürecini ölçme ve belgeleme prosedürleri, RMS'yi periyodik olarak ölçmek için prosedürler, yönetim süreci ile ilgili olarak üst yönetim fonksiyonları.

ISO standartlarında risk yönetiminin, olayları tanımlamayı ve bunlarla ilişkili riskleri yönetmeyi amaçlayan bir süreç olarak sunulduğu COSO kavramından farklı olarak, risk yönetimi, bir organizasyonu riske dayalı olarak yönetmek ve kontrol etmek için koordineli bir eylemdir. Buna göre, risk yönetimi süreci, iletişim, danışmanlık, bağlamsallaştırma ve tanımlama, analiz etme, değerlendirme, etkileme, izleme ve gözden geçirme faaliyetlerine yönetim politikaları, prosedürleri ve uygulamalarının sistematik olarak uygulanmasıdır.

Standartta (Şekil 5.5) açıklanan RMS modeli, organizasyon yönetiminin verimliliğini artırmak için tasarlanmıştır.

Standart duruma ekler:

• ? yönetim ve iletişim süreçlerinin sürekli iyileştirilmesi ihtiyacı;
• ? risk yönetimi prosedürlerinin sorumluluk, kontrol ve pratik uygulamasının oluşturulmasının önemi;
• ? risk yönetiminin organizasyon yapısındaki lider rolü.

Bir yönetim teknolojisi olarak risk yönetimi, son 10-15 yılda yurtdışında ve Rusya'da aktif gelişiminin bir dönemini yaşıyor. Özellikle önemli olan, risk yönetim sisteminin amacı ve hedefleri, kullanılan terminoloji, organizasyon yapısı ve risk yönetimi sürecinin kendisi hakkında modern Rus koşullarına uyarlanmış ortak bir anlayış geliştirme meselesidir. dünya pratiği bu sorunu çözmek için evrensel yaklaşımlardan birini sunar - risk yönetimi alanında birleştirme ve standardizasyon.

Uluslararası Standardizasyon Örgütü'nün (ISO - ISO) tanımına göre standart, fikir birliği temelinde geliştirilen, uygun düzeyde tanınan bir kuruluş tarafından benimsenen ve genel ve tekrarlanan kullanım için kurallar belirleyen normatif bir belgedir, Genel İlkeler ve çeşitli faaliyetlerle veya bunların sonuçlarıyla ilgili olan ve belirli bir alanda optimal bir düzen derecesine ulaşmayı amaçlayan özellikler. Standartlar, bilim, teknoloji ve bilimin genelleştirilmiş sonuçlarına dayanmalıdır. pratik tecrübe ve toplum için en uygun faydaları elde etmeyi amaçlayan

Son yıllarda, 10-15 yıl önce ilk kez geliştirilen ve esas olarak insan yapımı ile ilgili olan risk yönetimi standartlarını Rusya da dahil olmak üzere bir dizi ülkede tekrarlama yönünde açık bir eğilim olmuştur. tehlikeli faktörler. Bunlar arasında GOST 27.310-95 “Arızaların türlerinin, sonuçlarının ve kritikliğinin analizi”, GOST R 51901-2002 “Güvenilirlik yönetimi. Teknolojik sistemlerin risk analizi”, GOST R 51897‑2002 “Risk yönetimi. Terimler ve tanımlar” ile GOST'un ISO / TO 12100-1 ve 2 - 2002 “Ekipman güvenliği. Temel kavramlar, tasarımın genel ilkeleri” ve diğerleri.

GOST R 51901.2-2005 Risk yönetimi. Güvenilirlik yönetim sistemleri,

GOST R 51901.13-2005 Risk yönetimi. Arıza ağacı analizi ve diğerleri 5-6 yıl içinde 8 risk yönetimi standardı geliştirildi ve bu çalışma henüz tamamlanmaktan uzak. 2009 yılında, Ağustos 2010'da yeni bir standart hazırlanmış ve kabul edilmiştir - ISO 31000 "Risk yönetiminin ilkeleri ve uygulanması için genel yönergeler".

Rusya pazarında faaliyet gösteren risk yönetimi alanındaki danışmanların artan ilgisi, “Kuruluşların Risk Yönetimi” belgesine verilmiştir. Treadway Komisyonu Sponsor Kuruluşlar Komitesi (COSO) tarafından geliştirilen Entegre Model”

Rus Risk Yönetimi Derneği, COSO tavsiyelerine ek olarak, Risk Yönetimi Enstitüsü (IRM), Risk Yönetimi ve Sigorta Birliği'nin ortak bir gelişimi olan Avrupa Risk Yönetimi Dernekleri Federasyonu (FERMA) Risk Yönetim Standardını dikkate almaktadır. (AIRMIC) ve Kamu Sektöründe Risk Yönetimi Ulusal Forumu (ALARM) (2002).

Uluslararası risk yönetimi standartlarının yanı sıra, Anglo-Sakson hukukuna sahip eyaletlerde (Avustralya, Yeni Zelanda, Japonya, Büyük Britanya, Güney Afrika, Kanada) benimsenen ulusal risk yönetimi standartları da bulunmaktadır.

Pirinç. 3 - Risk yönetimi standardizasyonunun tarihi.

Ulusal yönetim standartlarıyla eş zamanlı olarak, sektörel özelliklerle ilgili olarak şirketlerin risk yönetim sürecini oluşturmak ve iyileştirmek için düzenleyicilerin sayısız gereksinimleri ortaya çıktı. Sektör risk yönetimi standartları arasında en bilinenleri sigorta şirketleri, reasürans şirketleri (Solvency, Solvency II) ve bankaların (Basel, Basel II, Basel III) faaliyetlerini etkileyen standartlardır.

Risk yönetimi standartları aşağıdakilerin birleştirilmesini sağlar:

Bu alanda kullanılan terminoloji;

Risk yönetimi sürecinin bileşenleri;

Risk yönetiminin organizasyon yapısını oluşturmaya yönelik yaklaşımlar.

Ancak, her bir risk yönetimi standardı içinde gerçekleştirilen birleştirmeye rağmen terminoloji tektir, risk yönetiminin yöntem ve hedefleri farklı standartlarda farklılık göstermektedir. Şek. 3, terminolojisi asgari düzeyde farklı olan ulusal ve uluslararası standartları sunar. Farklı standartları birleştirmeye çalışırken, tanımdan dolayı karışıklık mümkündür. temel kurallar onlarda farklıdır.

Standart “Kuruluşların Risk Yönetimi. Treadway Komisyonu (COSO) Sponsor Kuruluşlar Komitesi tarafından geliştirilen Entegre Model. Bu belge, kurumsal risk yönetimi için kavramsal bir çerçeve sağlar ve bir kuruluş içinde kurumsal risk yönetimi sisteminin nasıl kurulacağına dair ayrıntılı rehberlik sağlar.

COSO tarafından yorumlandığı şekliyle organizasyonun risk yönetimi süreci sekiz bölümden oluşmaktadır. birbirine bağlı bileşenler:

1) iç ortamın tanımı;

2) hedef belirleme;

3) risk olaylarının belirlenmesi (tanımlanması);

4) risk değerlendirmesi;

5) risk yanıtı;

6) kontroller;

7) bilgi ve iletişim;

8) izleme.

Bu nedenle, risk yönetimi sürecinin bileşenlerinin tanımıyla ilgili olarak, söz konusu belge, risk yönetimi standartlarında halihazırda oluşturulmuş olan sürecin anlaşılmasını takip eder.

Pirinç. 4 - COSO KÜPÜ.

Dünya uygulamasında, “COSO Küpü” (Şekil 4) olarak adlandırılan standart, kuruluşun hedefleri (stratejik, operasyonel hedefler, raporlama ve yasalara uygunluk), şirketin organizasyon yapısı (seviyeler) arasındaki ilişkiyi kurar. şirketin, bölümün, ekonomik birimin, bağlı ortaklığın) ve risk yönetimi sürecinin önceden tanımlanmış bileşenlerini içerir.

1. İç ortam

Risk yönetimine yönelik bir yaklaşımın temelini oluşturur. İçerir:

Yönetim Kurulu;

Risk yönetimi felsefesi;

risk arzusu;

Dürüstlük ve etik değerler;

Yetkinliğin önemi;

örgütsel yapı;

Yetki devri ve sorumluluk dağılımı;

Personel yönetimi standartları.

2. Hedef belirleme

Yönetim, başarılarını etkileyebilecek olayları belirlemeye başlamadan önce hedefler tanımlanmalıdır.

Şirket yönetimi, hedeflerin seçilmesi ve belirlenmesi için uygun şekilde organize edilmiş bir sürece sahiptir ve bu hedefler, kuruluşun misyonuna ve risk iştahının düzeyine karşılık gelir.

3. Risk değerlendirmesi

Riskler, oluşma olasılıkları ve etki dereceleri dikkate alınarak analiz edilerek bunlarla ilgili olarak hangi aksiyonların alınması gerektiği belirlenir.

Riskler, doğal ve artık risk açısından değerlendirilir.

4. Olası olayların tanımlanması

Kuruluşun hedeflerine ulaşmasını etkileyen iç ve dış olaylar, risklere veya fırsatlara ayrılmaları dikkate alınarak belirlenmelidir.

Strateji oluşturma ve hedefler belirleme sürecinde fırsatlar yönetim tarafından dikkate alınmalıdır.

5. Risk yanıtı

Yönetim bir risk yanıt yöntemi seçer:

kaçınma;

Benimseme;

reddetmek;

Yayın yapmak.

Geliştirilen önlemler, tanımlanan riskin kabul edilebilir risk düzeyi ve kurumun risk iştahı ile uyumlu hale getirilmesini mümkün kılmaktadır.

6. Kontrol prosedürleri

Politikalar ve prosedürler, ortaya çıkan riske verilen yanıtın etkili ve zamanında olduğuna dair “makul” güvence sağlayacak şekilde tasarlanır ve oluşturulur.

7. Bilgi ve iletişim

gerekli bilgilerÇalışanların görevlerini yerine getirmelerini sağlayacak bir biçimde ve zaman çerçevesinde tanımlanır, kaydedilir ve iletilir.

Organizasyon içinde dikey ve yatay olarak etkin bilgi alışverişi.

8. İzleme

Kuruluşun tüm risk yönetimi süreci izlenir ve gerektiğinde ayarlanır.

İzleme, devam eden yönetim faaliyetlerinin bir parçası olarak veya periyodik değerlendirmeler yoluyla gerçekleştirilir.

Avrupa Risk Yönetimi Dernekleri Federasyonu (FERMA) risk yönetimi standardı, Risk Yönetimi Enstitüsü (IRM), Risk Yönetimi ve Sigorta Birliği (AIRMIC) ve Kamu Sektöründe Ulusal Risk Yönetimi Forumu'nun (ALARM) ortak bir gelişimidir. ) (2002).

Yukarıda tartışılan COSO ERM Standardından farklı olarak, kullanılan terminoloji açısından bu standart, Uluslararası Standardizasyon Örgütü'nün (ISO/IEC Guide 73 Risk Management - Vocabulary - Guidelines for use for standardization) belgelerinde benimsenen yaklaşıma bağlıdır. Özellikle risk, standart tarafından “bir olayın olasılığı ve sonuçlarının bir kombinasyonu” olarak tanımlanmaktadır (Şekil 4).

Pirinç. 5 - FERMA standartlarına göre risk yönetimi süreci.

Risk yönetimi olarak görülüyor Merkezi kısmı Görevi riskleri belirlemek ve yönetmek olan bir organizasyonun stratejik yönetimi. Aynı zamanda, risk yönetiminin şu şekilde olduğu belirtilmektedir. tek sistem risk yönetimi, görevlerin uygulanmasını izlemek için bir program, devam eden faaliyetlerin etkinliğinin bir değerlendirmesi ve ayrıca organizasyonun tüm seviyelerinde bir ödül sistemi içermelidir.

FERMA Standardına göre, dört grup organizasyon riski ayırt edilir: stratejik, operasyonel ve finansal ve ayrıca tehlike riskleri.

Ek olarak, belge şunları içerir:

1. kısa bir açıklaması dikkatin çekildiği risk yönetimi sürecinin kilit aşamaları Detaylı Açıklama bu bilgilerin tüketicisine bağlı olarak risk raporlarında bilgi detaylandırma gereksinimleri (iç raporların tüketicileri arasında şirketin yönetim kurulu, ayrı yapısal birimi, kuruluşun belirli bir çalışanı; dış raporlar - kuruluşun dış karşı tarafları ). Özellikle, harici bilgi kullanıcılarına yönelik bir şirket risk raporu, aşağıdakilerin bir tanımını içermelidir:

sistem yöntemleri dahili kontrol yani, risk yönetimi konularında kuruluş yönetiminin sorumluluk alanlarının özellikleri;

Riskleri belirleme yolları ve bunların pratik uygulama içinde mevcut sistem organizasyon risk yönetimi;

En önemli risklere ilişkin olarak iç kontrol sisteminin ana araçları;

Mevcut risk izleme ve izleme mekanizmaları.

2. Risk yönetiminin organizasyon yapısının tanımı (yönetim kurulu - yapısal birim - risk yöneticisi) ve ayrıca kurumsal düzeyde risk yönetimi alanında düzenleyici belgelerin geliştirilmesi için temel gereksinimler (Örgütsel Risk Yönetimi Programı) .

Standardın ekinde, uygulamada kullanılan risk analizi yöntem ve teknolojilerine örnekler verilmektedir. Uzmanlar, Avustralya ve Yeni Zelanda Risk Yönetimi Standardını, risk yönetimi alanındaki en eksiksiz ve ayrıntılı ulusal standartlardan biri olarak kabul etmektedir. AS/NZS 4360 standardı genel (endüstri dışı) bir karaktere sahiptir; ana hükümleri bir dizi ulusötesi şirket tarafından risk yönetim sistemleri oluşturmak için uyarlanmıştır.

Pirinç. 6 - Risk Yönetim Süreci, AS/NZS 4360

AS/NZS 4360'a göre şirket düzeyinde risk yönetimi, birbirini takip eden beş aşamanın ve iki uçtan uca sürecin birleşimidir (Şekil 6). Aynı zamanda standartta risk yönetimi, “olumsuz etkileri yönetirken potansiyel fırsatların kullanımına odaklanan bir dizi kültür, süreç ve yapı” olarak anlaşılmaktadır.

Aşama 1. Çevrenin tanımı (çevre)

Şirketin iç ortamının analiz ve tanımlama ihtiyacını belirleyen faktörler arasında aşağıdakiler vurgulanmalıdır:

Risk yönetimi, organizasyonun tanımlanmış amaç ve hedefleri bağlamında gerçekleştirilmelidir;

Şirketin ana risklerinden biri, belirlenen stratejik, operasyonel, proje ve diğer hedeflere ulaşma sürecinde engellerin ortaya çıkmasıdır;

Kurumsal politika ilkelerinin ve şirketin hedeflerinin net bir şekilde formüle edilmesi, risk yönetimi alanındaki kurumsal politikanın ana yönlerinin belirlenmesine yardımcı olacaktır;

Şirketin iş bölümlerine göre amaç ve hedefleri ile bireysel kurumsal projelerin uygulanması sırasında oluşturulan hedefler, bir bütün olarak şirketin hedefleri ile uyumlu olarak düşünülmelidir. Söz konusu risk yönetimi aşaması çerçevesinde, bir dizi hedef performans göstergesi de belirlenir, şirket stratejisinin unsurlarının bir listesi, risk yönetimi süreçlerinden etkilenecek işleyişinin parametreleri derlenir ve bir denge olası maliyet ve faydaların sağlanması sağlanır (sözde risk yönetimi ortamı tanımlama aşaması). Gerekli kaynaklar ve muhasebe prosedürleri de belirlenmelidir.

Aşama 2. Risk tanımlama

Bu aşamada, bir önceki aşamada analiz edilen dış ve iç çevrenin özelliklerinden kaynaklanan riskler tanımlanmalıdır: tüm olası risk kaynakları ve ayrıca paydaşlar tarafından risk algısı (risk farkındalığı) hakkında mevcut bilgiler dikkate alınır. , hem kuruluş içinde hem de dışında . Bilginin kalitesine (mümkün olan en yüksek düzeyde uygunluk, eksiksizlik, doğruluk ve onu elde etmek için mevcut kaynaklarla zamansal yazışma) ve kaynaklarına özel gereksinimler getirilir. Risk tanımlamasına dahil olan personelin, analiz edilmekte olan süreçler veya faaliyetler hakkında tam bilgiye sahip olması önemlidir. İkincisi, çeşitli profillerden uzmanlardan oluşan özel çalışma gruplarının bu sürece katılımını gerektirir.

Aşama 3. Risk analizi

Söz konusu aşamayı geçmenin sonucu, sonuçların değerlendirilmesini ve risk olaylarının olasılığını yansıtan risk seviyesinin belirlenmesidir. Nicel ve nitel analiz kullanın. Değer ve Önem niteliksel analiz risk tanımının çok çeşitli paydaşlar tarafından oluşturulması durumunda önemli ölçüde artar.

Aşama 4. Risk değerlendirmesi

Bu aşamanın görevi, riskin kabul edilebilirliği/kabul edilemezliği hakkında karar vermektir (kabul edilebilir risk ile ilgili olarak, dikkate alınan risk yönetim sürecinin 5. aşamasında sağlanan risk işleme prosedürleri uygulanmaz).

Risk değerlendirmesi, bir risk olayının kontrol seviyelerinin, bir etkinin uygulanmasının maliyetlerinin, bir risk olayıyla ilişkili potansiyel maliyet ve faydaların incelenmesini içerir. Uzmanların bu aşamadaki çalışmalarının sonuçları, sürecin ilk aşamasında oluşturulan risk kriterlerinin gözden geçirilmesini gerektirebilir (böylece tüm önemli risklerin analiz kapsamına girmesini sağlama görevi çözülür).

Aşama 5. Risk tedavisi

Bu aşamada, üzerinde tanımlanan kriterlere göre şirket tarafından kabul edilemezlik / kabul edilemezliklerine karar verilen değerlendirilen ve derecelendirilen riskler ile çalışmalar yürütülür. Ilk aşamalar Risk yönetimi süreci göz önünde bulundurulur. Alternatif risk tedavi seçenekleri:

Şirket için kabul edilemez düzeyde bir riskle ilişkili faaliyetleri sonlandırarak veya kuruluşun amaçlarını karşılayan diğer, daha kabul edilebilir faaliyet alanlarını seçerek veya alternatif, daha az riskli bir metodoloji seçerek gerçekleştirilen riskten kaçınma. Göz önünde bulundurulan süreç veya faaliyetin organizasyonu ile ilgili.

Bir risk olayı olasılığını azaltmak ve (veya) Olası sonuçlar uygulama; risk seviyesi ile riski belirli bir seviyeye düşürmeyle ilgili maliyetler arasında bir denge bulunması gerektiğini düşünmek önemlidir. Riski azaltmak için geliştirilen yaklaşımlar, uygulama maliyetleri yüksek olmakla birlikte gerekçeli olarak kategorize edildiğinde, gerekli masraflar bütçeleme gerektirir. Bu alternatif kapsamında önerilen prosedürler şunlardır: kontrol; süreç geliştirme; eğitim ve personel gelişimi; belirlenen kurallara uygunluğun denetlenmesi ve belirlenmesi.

Riski üçüncü taraflarla paylaşmak. Riski kabul eden kuruluşun bunu etkin bir şekilde yönetememesi nedeniyle devredenin yeni bir riskle karşı karşıya olduğu dikkate alınmalıdır.

Risk tutma. Bu alternatif, kalan ve tanımlanamayan riskler için geçerlidir.

Çözüm

Risk yönetiminin amaç ve yöntemlerindeki farklılıklara rağmen her standart, risk izleme ve kontrol süreçlerinin sürekliliğinin gerekliliğini belirtmektedir.

Risk değerlendirmesi, hangi kurumsal hedeflerin risklerden etkilenebileceğini belirlemek için yapılandırılmış bir süreç sağlayan risk yönetiminin ayrılmaz bir parçasıdır. Risk değerlendirmesi, bir kuruluş gerekirse daha fazla eyleme karar vermeden önce, sonuçları ve olasılıkları açısından riskleri analiz etmek için kullanılır.

Risk değerlendirmesi, karar vericilere ve sorumlu taraflara, hedeflere ulaşılmasını etkileyebilecek risklerin net bir şekilde anlaşılmasının yanı sıra kontrollerin yeterliliği ve etkinliği hakkında bilgi sağlar. Standart, en uygun yaklaşıma karar vermek için bir temel sağlar ve belirli riskler için karar vermenin yanı sıra farklı seçenekler arasında seçim yapmak için kullanılacaktır.

Bir kuruluş için ana standart olarak belirli bir standardı seçmek ciddi bir iştir, bazen bir kuruluş aynı anda birkaç standart kullanır ve bu da risk yönetimi süreçlerinde belirsizliklere yol açar. Bir risk yönetimi standardının veya dengeli bir şekilde genişletilmesinin seçimi, her bir standardın gereksinimlerinin ve bunların pratikte nasıl uygulandığının (uygulandığının) ayrıntılı bir şekilde anlaşılmasını gerektirir ve ayrıca hem risk yönetimi süreçlerinin hem de kuruluşun bilgilerinin olgunluk düzeyine bağlıdır. teknoloji yönetimi süreçleri.

Kullanılmış literatür listesi.

1. GOST 1.1-2002 “Eyaletlerarası standardizasyon sistemi. Terimler ve tanımlar".

2. GOST R 51897 – 2002 “Risk yönetimi. Terimler ve tanımlar".

3. Organizasyonel risk yönetimi. entegre modeli. COSO'nun Özeti, 2004.

4. Organizasyonel risk yönetimi. Entegre Model // Risk Yönetimi, Sayılar 5–6, 7–8, 9–10, 11–12, 2007; 1-2, 2008.

5. Avrupa Risk Yöneticileri Birlikleri Federasyonunun Risk Yönetim Standartları, 2003.

6. I. Philopoulos. AB'de risk değerlendirmesi için politika oluşturma ve kurumsal çerçeve. Ülkede bir risk değerlendirme sistemi kurmak için öneriler.

7. AS/NZS 4360:2004 - Standards Australia tarafından yayınlanan Risk Yönetimi.121

8. CSA (1997) Risk Yönetimi: Karar Verenler için Kılavuz - Kanada Ulusal Standardı / Kanada Standartlar Birliği (1997, 2002'yi yeniden onayladı) CAN/CSA-Q850-97.

9. Taslak Uluslararası Standart ISO/DIS 31000 "Risk yönetimi - Uygulamaya ilişkin ilkeler ve kılavuzlar", ISO, 2008.

10. Kevin W. Şövalye Risk Yönetimi – bir yolculuk, varış noktası yok. Ocak, 2006.

11. Kevin W. Şövalye. Risk Yönetimi: kurumsal yönetişimin ve iyi yönetimin ayrılmaz bir bileşeni. ISO Bülteni, Ekim 2003.

12. Marc Saner. Uluslararası Risk Yönetimi Standartları Hakkında Bilgi Özeti. Institute On Governance, Kanada, 30 Kasım 2005.

13. Kurumsal Risk Yönetimi - Entegre Çerçeve Yönetici Özeti.-Treadway Komisyonunun Sponsorluk Kuruluşu Komitesi (COSO), 2004.

14. GOST R 51898-2002 Güvenlik hususları. Standartlara dahil edilme kuralları.

Benzer bilgiler.

Şu anda, Rusya'nın çok sayıda devlet standardı vardır; bunların yalnızca küçük bir oranı, %1'den azı girişimci risklerle ilişkili standartlardır ve aslında bu tür Risk, herhangi bir ticari işletme için son derece önemlidir. Dünya risk yönetimi uygulaması, standardı, çabalamaya değer bir model olarak görmektedir. Risk yönetimi alanında birkaç standart vardır. Aynı zamanda, mevcut Rus risk yönetimi standartlarının yanı sıra çok sayıda önerilen endüstri uygulamasının kökleri yurtdışından gelmekte ve yabancı gerçeklik ilkelerinin temellerini atmaktadır.

İçin Genel fikir risk yönetimi standartları hakkında, bunlardan bazılarına aşina olmanız gerekir: FERMA standardı, Sarbanes-Oxley Yasasının bazı varsayımları, COSO II standardı ve Güney Afrika standardı - KING II.

FERMA risk yönetimi standardı, Birleşik Krallık'taki The Institute of Risk Management, The Association of Insurance and Risk Management ve The National Forum for Risk Management in the Public Sector (The National Forum for Risk Management in the Public Sector) tarafından ortaklaşa geliştirildi ve kabul edildi. 2002 yılında. Belgede belirtilen şema, risk yönetim sisteminin uygulanması için temel teşkil eder. Bu risk yönetimi standartları şunları içerir: riskin tanımı, risk yönetimi, dahili ve dış faktörler riskler, risk yönetimi süreçleri, risk değerlendirme prosedürleri, risk analiz yöntemleri ve teknolojileri, risk yönetimi faaliyetleri ve ayrıca bir risk yöneticisinin sorumlulukları. Bu belgeye göre risk, olasılık ve olayının bir kombinasyonu olarak kabul edilir ve risk yönetimi, bir organizasyonun stratejik yönetiminin merkezi bir parçası olarak kabul edilir. Örneğin, FERMA standardına göre bir risk uzmanının ana işlevleri, bir risk yönetim programının geliştirilmesi ve uygulanması, çeşitli kuruluşlar arasındaki etkileşimin koordinasyonudur. yapısal bölümler organizasyon, plansız kayıpları azaltmaya yönelik programların geliştirilmesi ve iş süreçlerinin sürekliliğini sağlamaya yönelik önlemlerin organizasyonu. Bu standardın ana fikri, kullanılan terminoloji, risk yönetiminin pratik uygulama süreci, risk yönetiminin organizasyon yapısı ve risk yönetiminin hedefleri üzerinde anlaşmaya varmak için standardın benimsenmesinin gerekli olduğudur. Risk yönetiminin sadece ticari ve ticari amaçlar için bir araç olmadığını anlamak özellikle önemlidir. kamu kuruluşları, ancak herhangi bir eylem için bir rehber (hem kısa hem de uzun vadede).

Risk yönetimi alanında yasal olarak onaylanmış birkaç standarttan biri Sarbanes-Oxley Yasasıdır. Bu kanun öncelikle iç kontrol ve mali tabloların güvenilirliği konularını ele almakta ve dolaylı olarak risk yönetimi sürecini de düzenlemektedir. Kanun, belirli mali kontrol prosedürlerinin geliştirilmesine ilişkin rehberlik sağlamamaktadır. Standart, süreçlerin ilerlemesi hakkında gelen verilerin analizini ve bir denetim yoluyla uygunluğun doğrulanmasını önerir.

2001 yılında, Treadway Komisyonunun Sponsor Kuruluşlar Komitesi (COSO), PriceWaterHouseCoopers ile birlikte, risk yönetimi ilkelerini (Kurumsal Risk Yönetimi - Entegre Çerçeve) geliştirmek için bir proje başlattı. Geliştirilen ilkeler doğrultusunda risk yönetimi, bir işletmenin tüm faaliyetlerini kapsayan ve çalışanların dahil olduğu bir süreçtir. çeşitli seviyeler yönetmek; belirlenen stratejik hedeflere ulaşmak için bir araç; risk tanımlama ve yönetim teknolojisi; İşletmenin faaliyetlerini olası yönetim veya yönetim kurulu hatalarına karşı sigortalamanın bir yolu.

Güney Afrika standardı "KING II", risk yönetimi uygulamasındaki standart çözümlerin bir koleksiyonudur, sürekli güncellenir ve risk yöneticileri için bir eğitim kılavuzu olarak hizmet eder. Bu standart belirli belirli iş ve kurumsal yönetime odaklanmaz, aynı zamanda sürecin ideolojisi ve istenen aşamalar açıkça ifade edilir. Bu nedenle, prosedürlerin belirli bir şirketin özelliklerine dikkatli bir şekilde uyarlanması, istenen sonuca yol açabilir.

Analiz edilen standartların çoğunun - "COSO II", "FERMA" - katılımcılarının anlaşması temelinde çalıştığını söylemeliyim. Risk yönetimi için birkaç yasal standarttan biri Sarbanes-Oxley Yasasıdır. Ancak bu yasa bile eylem ve prosedürlerin başarısını garanti etmemektedir.

Bununla birlikte, uygulamanın gösterdiği gibi, bir risk yönetim sistemi oluşturmak için mevcut yabancı standartlar, Rusya gerçekliğinde zayıf bir şekilde uygulanabilir veya kısmen uygulanabilir. Bu nedenle, Rusya Federasyonu yabancılara dayanarak, daha ayrıntılı olarak üzerinde duracağımız risk yönetimi alanında kendi standartları geliştirildi.

51901 serisi “Risk Yönetimi” standartları, bir kuruluşta risk yönetiminin uygulanması için genel yönergeler sağlar, kullanım için bir metodoloji içerir. çeşitli metodlar Bireysel ekonomik risklerin değerlendirilmesinde belirli bir yöntemin uygulanmasının özelliklerini dikkate alarak risk değerlendirmesi hakkında. Yani, GOST R 51901.1-2002 “Risk yönetimi. Teknolojik Sistemlerin Risk Analizi”, esas olarak teknolojik sistemlerin risklerini değerlendirmek için risk analizi yöntemlerinin seçimi ve uygulanması için kılavuzlar oluşturur; GOST R 51901.2-2005 “Risk yönetimi. Güvenilirlik yönetim sistemleri”, güvenilirlik yönetim sisteminin kavram ve ilkelerini açıklar, bu sistemin ana süreçlerini (planlama, kaynak paylaşımı, yönetim ve adaptasyon süreçleri) ve aşamalardaki güvenilirlik görevlerini tanımlar. yaşam döngüsü planlama, tasarım, ölçüm, analiz ve iyileştirme ile ilgili ürünler; GOST R 51901.3-2007 “Risk yönetimi. Güvenilirlik Yönetimi Yönergeleri” ürünlerin tasarımında, geliştirilmesinde, değerlendirilmesinde ve süreç iyileştirmede güvenilirliğin yönetimi için yönergeler oluşturur; GOST R 51901.4-2005 “Risk yönetimi. Tasarımda kullanım kılavuzu" Genel Hükümler tasarımda risk yönetimi, alt süreçleri ve etkileyen faktörler; GOST R 51901.5-2005 “Risk yönetimi. Güvenilirlik Analizi Yöntemlerinin Uygulanması için Kılavuzlar”, yaygın olarak kullanılan güvenilirlik analizi yöntemlerine, ana yöntemlerin açıklamalarına ve bunların avantaj ve dezavantajlarına, girdi verilerine ve diğer kullanım koşullarına ilişkin kısa bir genel bakış içerir; GOST R 51901.6-2005 “Risk yönetimi. Güvenilirlik Geliştirme Programı” gereksinimleri belirler ve ortadan kaldırmak için önerilerde bulunur. zayıflıklar güvenilirliği artırmak için donanım nesnelerinden ve yazılımdan; GOST R 51901.10-2009 “Risk yönetimi. İşletmede yangın riski yönetimi prosedürleri”, yangın riski yönetiminin ana hükümlerini içerir ve yangın riskinin analizi ve yorumlanması için temel ilkeleri belirler; GOST R 51901.11-2005 “Risk yönetimi. Tehlike ve çalışma kapasitesi araştırması. Uygulama Rehberi, bu Uluslararası Standartta tanımlanan bir dizi rehber kelime kullanılarak tehlike ve sistem işlerliği araştırmaları hakkında rehberlik sağlar ve tanım, hazırlık, inceleme ve nihai dokümantasyon dahil olmak üzere HAZOP inceleme yöntemi ve prosedürlerinin uygulanmasına ilişkin rehberlik sağlar; GOST R 51901.12-2007 “Risk yönetimi. Arıza Modları ve Sonuçları Analiz Metodu”, arıza modlarını ve arıza modlarının sonuçlarını, sonuçlarını ve kritikliğini analiz etmek için yöntemler belirler ve bunların uygulanmasına ilişkin tavsiyelerde bulunur; GOST R 51901.13-2005 “Risk yönetimi. Arıza ağacı analizi”, bir arıza ağacı analiz yöntemi oluşturur ve uygulamasına ilişkin rehberlik içerir; GOST R 51901.14-2007 “Risk yönetimi. yapısal şema Güvenilirlik ve Boole Yöntemleri”, bir sistem güvenilirlik modeli oluşturmaya ve bu modeli güvenilirlik ve hazırlık göstergelerini hesaplamak için kullanmaya yönelik yöntemleri açıklar; GOST R 51901.15-2005 “Risk yönetimi. Markov yöntemlerinin uygulanması”, güvenilirlik analizi için Markov yöntemlerinin uygulanması için kılavuzlar oluşturur; GOST R 51901.16-2005 “Risk yönetimi. Artan güvenilirlik. İstatistiksel Kriterler ve Değerlendirme Yöntemleri”, modelleri ve Nicel yöntemler Güvenilirlik geliştirme programına uygun olarak elde edilen sistem arızası verilerine dayanan güvenilirlik iyileştirme tahminleri. Bu prosedürler, sistem güvenilirliği geliştirme özellikleri için nokta tahminlerini, güven aralıklarını ve test hipotezlerini belirlemenize olanak tanır.

Bu nedenle, 51901 "Risk Yönetimi" serisinin standartları, riskleri değerlendirmek ve analiz etmek için çeşitli yöntem ve yaklaşımların kullanımını ayrıntılı olarak açıklar, özellikle bunların işletmede pratik uygulamalarına ve kullanımlarına yöneliktir. Açıklık için, birçok standart pratik örnekleri dikkate alır.

IEC, ISO serisinin risk yönetimi standartları, International tarafından geliştirilen uluslararası standartların çevirisine dayanmaktadır. Elektroteknik Komisyonu, Uluslararası organizasyon ISO standardizasyonuna göre. ISO standardizasyonunun ana nesneleri endüstriler tarafından temsil edilir: makine mühendisliği, kimya, cevherler ve metaller, bilgi teknolojisi, inşaat, tıp ve sağlık, Çevre, kalite güvence sistemleri. IEC standartları ISO standartlarından daha spesifik ve doğrudan uygulama için daha uygundur. Büyük önem IEC, güvenlik standartlarının geliştirilmesine bağlıdır - Ana hedef güvenlik alanında standardizasyon, çeşitli tehlike türlerine karşı koruma arayışıdır.

IEC'nin kapsamı şunları içerir: travmatik tehlike, elektrik çarpması tehlikesi, patlama tehlikesi, ekipman radyasyon tehlikesi, dahil. ve iyonlaştırıcı radyasyondan, biyolojik tehlikeden vb.. Örneğin, GOST R IEC 62305-1-2010 “Risk yönetimi. Yıldırımdan korunma. Bölüm 1. Genel ilkeler”, binaların, yapıların ve içlerindeki insanlar da dahil olmak üzere bölümlerinin yıldırımdan korunma genel ilkelerini, bina (yapı) ve diğer nesnelerle ilgili mühendislik ağlarını belirler; GOST R ISO 17776-2010 “Risk yönetimi. Açık deniz petrol ve gaz üretim tesisleri için tehlike tanımlaması ve risk değerlendirmesi için yöntem ve araçların seçimine ilişkin kılavuz ilkeler”, açık deniz petrol ve gaz sahalarının geliştirilmesi ve işletilmesine ilişkin tehlike tanımlaması ve risk değerlendirmesi için önerilen ana yöntemlerin bir tanımını içerir. sismik keşif, topografik araştırmalar, arama ve üretim sondajı, kaynakların sağlanması dahil saha geliştirme ve ilgili ekipmanın hizmetten çıkarılması ve elden çıkarılması; GOST R ISO 17666-2006 “Risk yönetimi. Uzay sistemleri» için entegre risk yönetimi için ilkeleri ve gereksinimleri belirler. uzay projesi, entegre işletme politikasının risk yönetim sistemine uygulanmasının, projenin uygulanması sırasında her proje katılımcısı tarafından tüm seviyelerde (tüketici, birinci seviye tedarikçi, tedarikçiler) gerçekleştirilmesine dayalı olarak alt düzey); GOST R IEC 61160-2006 “Risk yönetimi. Resmi Tasarım Gözden Geçirme, ürün ve süreç iyileştirmeyi teşvik etmenin bir yolu olarak tasarım gözden geçirme prosedürlerini gerçekleştirmek için öneriler içerir. Standart, proje incelemelerinin planlanması ve yürütülmesi için rehberlik sağlar ve şunları sağlar: Detaylı Açıklama güvenilirlik uzmanlarının analizine katılım, bakım, tamir ve bakım.

ISO/IEC Ortak Programlama Komitesi, ilgili teknoloji alanlarıyla ilgili konularda iki kuruluş arasındaki sorumluluğun dağılımı ile ilgilenir, komite tarafından geliştirilen standartlar arasında ISO/IEC 16085:2006 “Sistemler ve yazılım geliştirme yer alır. Yaşam döngüsü süreçleri. Risk yönetimi” ve aynı GOST R ISO/IEC 16085-2007 “Risk yönetimi. Yazılımın sipariş edilmesi, tedarik edilmesi, geliştirilmesi, çalıştırılması ve bakımı için bir risk yönetimi süreci oluşturan sistemlerde ve yazılım yaşam döngüsü süreçlerinde uygulama”.

Ekonomik risklerin yönetimi ile ilgili listelenen standartlara ek olarak, tıp, ekoloji, bilgi teknolojisi vb. alanlarda risk yönetimi sürecini düzenleyen özel standartlar da vardır.

Günümüzde profesyoneller, bir şeyler yaratmak için bunun farkına varmışlardır. etkili sistem risk yönetimi geliştirilmeli ortak temeller düzenleyici yapı kuruluşun risk yönetim sistemleri. Ancak bu hedefe ulaşmanın birçok yolu olduğu için tüm alanları tek bir belgede birleştirmek neredeyse imkansızdır. Bu yüzden zaten mevcut standartlar risk yönetiminin normatif olması amaçlanmamıştır. Ancak, dikkate alınan standartların bileşenlerini takip etmek ve aynı zamanda seçim yapmak çeşitli yollar ve yöntemler, kuruluşlar risk yönetimi açısından amaçlarına ulaşabileceklerdir.

Edebiyat

1.Potapkina M. Risk yönetimi standartları: Rus gerçekliğinde uygulama yöntemleri [ elektronik kaynak]. Erişim modu: www.buk.irk.ru/library/potapkina1.doc.

2. Uluslararası risk yönetimi standartları”. Öğretim yardımı [Elektronik kaynak]. Erişim modu: www.minzdravsoc.ru/.../Mezhdunarodnye_standardy_upravleniya_riskami.doc.

3. Uluslararası standardizasyon. ISO. IEC [Elektronik kaynak]. Erişim modu: http://www.asu-tp.org/index.php?option