Стандарт ferma управление рисками кратко

Обновлено: 02.07.2024

В настоящее время в риск-менеджменте наиболее распространены стандарты FERMA и COSO ERM.

COSO ERM, ERM COSO (Enterprise Risk Management — Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission) — принципы риск-менеджмента, разработанные Комитетом спонсорских организаций Комиссии Тредвея совместно с компанией PricewaterhouseCoopers.

Выбор стандарта риск-менеджмента Эти стандарты, с одной стороны, похожи, а с другой — достаточно сильно отличаются с точки зрения их возможного использования. Возможное использование связано с несколькими факторами.

Во-первых, стандарт FERMA разработан риск-менеджерами для постановки системы управления рисками любого предприятия. Стандарт COSO ERM — развитие предыдущего стандарта COSO (Internal Control — Integrated Framework), который был ориентирован на повышение достоверности отчетности предприятий. Данные стандарты были разработаны аудиторами для аудиторов. История развития, по мнению автора, наложила отпечаток на каждый из стандартов. Поэтому первый удобен для обычных людей, а второй — именно для внутренних аудиторов.

Во-вторых, стандарт FERMA содержит четко определенную последовательность действий по постановке системы управления рисками и более конкретные рекомендации. Это позволяет использовать его при постановке системы управления рисками неподготовленному читателю. Стандарт COSO ERM по сравнению со стандартом FERMA расплывчат, и для его интерпретации почти наверняка понадобится помощь внешнего консультанта либо же привлечение на работу специалиста, знакомого именно с этим стандартом.

В-третьих, у каждого из этих стандартов разные пользователи и разные законодательные требования. FERMA предназначен, в первую очередь, для риск-менеджеров и фактически представляет собой необязательные рекомендации. Стандарт COSO является обязательным для публичных компаний в США.

Исходя из перечисленных особенностей и должен происходить выбор стандарта для постановки системы управления рисками. Если цель компании — размещение акций на нью-йоркской фондовой бирже, то естественно выбрать COSO ERM. Если же цель компании — построить систему управления рисками для внутреннего пользования, целесообразно использовать FERMA, хотя и этот стандарт определяет требования к раскрытию информации.

В настоящее время в риск-менеджменте наиболее распространены стандарты FERMA и COSO ERM.

Для управления рисками на предприятии есть различные стандарты. Наибольшее распространение получили FERMA, COSO ERM и ISO 31000.

Международные модели управления рисками FERMA и COSO ERM

Данный стандарт определяет четкую последовательность действий по внедрению системы риск-менеджмента и содержит практические рекомендации. На предприятии FERMA внедряют для увеличения стабильности работы. Методология стандарта основана на четырёх рисках: стратегических, финансовых, производственных и рисков безопасности.

В стандарте прописаны основные теоретические и практические указания: определение риска, риск-менеджмента, процедуры оценки рисков, методы и технологии оценки рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера.

Схему системы риск-менеджмента FERMA можно внедрить на любом предприятии, что является хорошим преимуществом.

COSO ERM (Enterprise Risk Management — Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission) — принципы риск-менеджмента, разработанные Комитетом спонсорских организаций Комиссии Тредвея совместно с компанией PricewaterhouseCoopers.

Стандарте COSO-ERM учитывает восемь областей управления рисками компании: организационная структура, цели компании, идентификация рисковых ситуаций, оценка вероятности наступления рискового события, совокупность стратегий реагирования на риск, контроль над действиями сотрудников, информационный обмен, элиминирование рисков.

В зависимости от разработанности этих областей в компании, необходимо выбрать наиболее существенные. Важно правильно внедрить систему риск-менеджмента, так, чтобы она охватывала все структурные подразделения компании, а методы нейтрализации угроз, вызванных возможностью реализации того или иного риска, были эффективны.

Особенности стандартов COSO ERM и FERMA приведены в таблице 1.

Таблица 1. Особенности стандартов COSO ERM и FERMA.

Цель разработки

Какие задачи позволяет решать

Особенности

Разработан для постановки системы управления рисками любого предприятия

увеличение стоимости компании;
рассмотрение разноплановых рисков;
идентификация, описание и измерение рисков;
определение причин возникновения рисков;
сокращение вероятности наступления рискового события;
внедрение интегрированной системы управления рисками в общую структуру управления;
формирование последовательности управления рисками.

Содержит четко определенную последовательность действий по постановке системы управления рисками и конкретные рекомендации, что позволяет использовать стандарт при постановке системы управления рисками неподготовленному пользователю.

Развитие предыдущего стандарта COSO (Internal Control — Integrated Framework), который был ориентирован на повышение достоверности отчетности предприятий. Данные стандарты были разработаны аудиторами для аудиторов.

выявление готовности идти на риск и порог приемлемого риска;
эффективность принятия решений в условиях неопределенности;
снижение реализации рисковых событий;
возможность управлять интегрированным риском;
поиск возможностей среди рисковых ситуаций;
эффективное использование капитала.

Отсутствует пошаговая инструкция по внедрению системы риск-менеджмента, что вызывает необходимость в привлечении внешних экспертов.

Выбор стандарта для постановки системы управления рисками нужно проводить исходя из перечисленных особенностей. Если акции компании котируются на нью-йоркской фондовой бирже, то обязательно к применению COSO ERM. Если организации достаточно построить систему управления рисками для внутреннего пользования, целесообразно использовать FERMA.

Ключевые принципы ISO 31000

ISO 31000 можно назвать универсальным стандартом. Он помогает предприятиям, нацеленным на победу в тендерах, работу с крупными контрагентами и госструктурами, в том числе с доступом к гостайне, формирует имидж надёжного партнёра и повышает инвестиционную привлекательность.

Стандарт ИСО 31000 определяет требования для следующих аспектов риск-менеджмента:

внутренняя среда;
способы постановки целей;
определение событий и ответственных за них лиц;
оценка рисков и способы реагирования на них;
средства контроля;
планирование, сбор и анализ информации;
коммуникация между заинтересованными лицами;
мониторинг.

Стандарт определяет, что риск-менеджмент должен быть неотъемлемой частью деятельности компании. Без учёта вероятных рисков её работа будет малоэффективной. Для риск-менеджмента устанавливается ряд принципов. Он должен быть структурированным, комплексным и всеобъемлющим.

Управление рисками осуществляется:

методом отказа от чрезмерно рискованной деятельности;
наработкой резервов и запасов;
диверсификацией;
страхованием или аутсорсингом рисковых функций.

Каждая компания может адаптировать рекомендации с учётом своей специфики. ГОСТ Р ИСО 31000-2010 можно применить к любому типу риска, независимо от его характера, а также того, имеет он отрицательные или положительные последствия.

На разных этапах существования компании риски могут возникать и исчезать, становиться более или менее весомыми. Работающая система управления способна предвосхитить, обнаружить, признать и отреагировать на произошедшие изменения. На всех этапах принятия решений обязательны постоянный мониторинг и периодическая проверка.

Еврейская мудрость гласит, что если проблему можно решить деньгами, то это не проблема, а расходы.

Риск — некоторое негативное событие в будущем, которое может наступить с определенной вероятностью.

Риск — характеристика ситуации, имеющей неопределённость исхода, при обязательном наличии неблагоприятных последствий.
Риск в узком смысле — количественная оценка опасностей, определяется как частота одного события при наступлении другого.
Риск — это неопределённое событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие на репутацию компании, приводит к приобретениям или потерям в денежном выражении.
Риск — это вероятность возможной нежелательной потери чего-либо при плохом стечении обстоятельств.
Риск — это вероятность выхода опасного фактора из под контроля и серьёзность последствий, выражаемая степенью проявления

Стандарты управления рисками

Можно выделить как минимум три стандарта управления рисками. Первая модель наиболее проста в использовании, т. к. кроме перечисления самих типов рисков она предлагает конкретное указание рисковых факторов, которые следует проанализировать в первую очередь. Эта классификация предлагается в рамках стандарта FERMA.

Регламент управления рисками, рекомендованный Федерацией европейских ассоциаций риск-менеджеров (FERMA), опубликованный в 2002 году . Это проработанный практиками сферы управления рисками лаконичный документ, позволяющий упростить и сделать понятными практические шаги по внедрению процедур управления рисками в компании.

COSO стандарт, разработанный комитетом спонсорских организаций Комиссии Тредвея (США, Канада, PricewaterhauseCoopers) — The Committee of Sponsoring Organizations of the Treadway Commission, первая редакция которого появилась в 1992 году. Стандарт COSO предлагает общую модель управления рисками, охватывающую всю организацию, и основные принципы ее реализации с конкретизированными примерами применения данной модели.

Стандарт ISO является универсальным и может применяться для компаний любой сферы деятельности, вне зависимости от отрасли, специфики компании и принципов ее управления.

Основным механизмом, обеспечивающим принятие решения, является отчетность. В стандарт ISO шаблонов отчетов нет. Стандарт ИСО оставляет это на откуп самой компании, реализующей процесс управления рисками.

Стандарт FERMA содержит подробные рекомендации по содержанию отчетов, однако не дает никаких конкретных рекомендаций по построению карт рисков, указывая тем не менее на необходимость их построения.

COSO не определяет состав отчетности – оставляет это на откуп рекомендуемым инструментам автоматизации, однако подробно рассматривает построение карт рисков.

Применение такого шаблона уже само по себе ценно для бизнеса, поскольку позволяет отслеживать не только подстерегающие опасности, но и анализировать упускаемые возможности. Кроме того, карты рисков помогают в принятии эффективных решений, когда ограниченные финансовые ресурсы используются максимально выгодно.

Как создать систему управления рисками

Построение системы управления рисками начинается с оценивания внешней и внутренней среды компании. Результатом этого процесса должно быть осознания факторов различной природы (политических, экономических, экологических и т. п.), определяющих условия хозяйствования на региональном или международном уровне.

Необходимо выделить основные факторы, наиболее существенно воздействующие на цели предприятия. Понимание окружающей макросреды необходимо дополнить анализом конкурентных сил, в том числе взаимосвязей с ключевыми контрагентами из числа поставщиков и потребителей продукции.

Во внутренней среде диагностике подлежит состояние: в области организационной структуры, полномочий и обязанностей; внутреннего материального и интеллектуального потенциала; формализованных бизнес- и функциональных стратегий; корпоративной культуры.

Определяется политика управления рисками, в которой закрепляются:

общее обоснование важности управления рисками для компании,
порядок предоставления отчетности,
разграничение полномочий должностных лиц при принятии решений (с соответствующими правами доступа к информации);
способы разрешения конфликтных ситуаций;
методы измерений эффективности в области управления рисками и требования к отчетности;
обязательства и периодичность процедур улучшения самой системы риск-менеджмента

Политика управления рисками

Содержание политики в области управления рисками согласно ISO должно содержать следующую информацию:

Разъяснение того, в чем состоит потребность компании в управлении рисками.
Место и роль политики управления рисками в структуре разного рода политик, закрепленных в компании.
Порядок отчетности и зоны ответственности в области управления рисками.
Порядок разрешения конфликтов.
Порядок обеспечения доступа к ресурсам для содействия лицам, ответственным за управление риском.
Методика оценки и порядок предоставления отчетности по эффективности управления рисками.
Обязательства по периодичности актуализации как политики, так и самой системы управления рисками в целом.

Инструменты диагностики рисков

Для идентификации рисков (согласно COSO) необходимо анализировать группы внешних и внутренних факторов.

Внешние факторы риска:

экономические (уровень цен, доступность капитала, конкуренция, ликвидность, безработица);
природные (катаклизмы, ограничивающие доступ к сырьевым ресурсам, выбросы вредных веществ, энергия);
политические (смена правительства, изменение законодательной базы, государственное регулирование);
социальные (изменения поведения клиентов, изменения на рынке труда);
технологические (ит революция, технологические преобразования и роботизация).

Внутренние факторы риска:

инфраструктурные (наличие активов, доступ к капиталу);
кадровые (квалификация персонала, мошенничество и хищения);
операционные (связанные с изменениями в бизнес-процессах, ошибками при их выполнении, недобросовестной деятельностью бизнес-партнеров или провайдеров услуг);
технологические (связанные с использованием устаревших или ненадежных технических средств).

Источниками для получения информации, обеспечивающей идентификацию рисков, могут быть:

Подразделения компании на всех уровнях.
Финансовые, информационные и материальные потоки.
Статистика, создающая основу количественной оценки рисков.
Документация – от регламентов до протоколов служебных расследований произошедших аварий и инцидентов.
Инспекции и проверки текущих процессов.

Методы оценки возможного ущерба и вероятности наступления риска

После идентификации рисков необходимо осуществить качественный, а затем количественный анализ рисков.

Качественный анализ – это исследование особенностей рисков, а также выявление тех последствий, которые способны принести компании наступившие негативные события.

При количественном подходе оценки могут быть основаны либо на статистической информации (оценка осуществляется на основе статистических моделей), либо на экспертных оценках (эксперты дают количественную оценку вероятности и потенциального ущерба, основываясь на обрывочных статистических данных, в случаях, когда детальный расчет невозможен или нецелесообразен).

3 октября 2017

Общие подходы к управлению рисками

Редактор, специалист в области PR. Работала менеджером по маркетингу и PR компании ALP Group. С 2003 по 2014 г. была выпускающим редактором журнала Intelligent Enterprise.

Использование любых технологий наряду с положительным эффектом влечёт за собой возникновение неопределённости и связанных с этими технологиями рисков. ИТ не исключение. Широкое применение ИТ как в системах управления компаниями, так и в технологических процессах привело к тому, что риски, связанные с ИТ, стали важной частью всех бизнес-рисков организации. Если происходят какие-то нежелательные события, без управления ИТ-рисками организацию ждут перерасход ресурсов и избыточное финансирование. В результате это приводит к прямым потерям и, возможно, к отказу от использования технологий, которые кажутся слишком новаторскими и недостаточно проверенными. А значит, всё закончится упущенными коммерческими возможностями. В этом цикле статей мы расскажем об управлении ИТ-рисками, чтобы плюсы новых технологий не превращались в минусы.

Риск, событие, характеристки риска

Риск — следствие влияния неопределённости на достижение поставленных целей.

ГОСТ Р 51897-2011

Событие — возникновение или изменение специфического набора условий 1 .

ГОСТ Р 51897-2011

Тогда риску можно дать такое определение:

Риск — это следствие вероятности возникновения события, которое окажет отрицательное воздействие на достижение поставленных целей.

Здесь важно подчеркнуть несколько обстоятельств:

риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
событие должно быть случайным: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
событие может привести к отклонению от ожидаемых результатов деятельности с негативными последствиями (ведь возможны и позитивные).

Исходя из этого, риск характеризуется двумя величинами:

вероятность, которая характеризует наступление рискового события;
цена потери и величина возможных негативных последствий.

Вероятность возникновения риска — характеристика возможного наступления рискового события.

Каждому риску отводится вероятность больше 0%, но меньше 100%. Риск с вероятностью 0% не считается риском, так как не может произойти. Равно как и риск с вероятностью 100% — тоже не риск, а реальное событие, которое в обязательном порядке предусматривается проектом.

Последствия риска — степень влияния риска на достижение поставленных целей организации: трудозатраты, деньги, отклонения от принятого плана и т. д.

Иногда эти две величины объединяют в один показатель — уровень (или величина) риска.

Уровень риска — это мера риска, комбинация характеристик его вероятности и последствий.

В новой редакции стандарта ISO 9001:2015 появились требования по управлению рисками. Управление рисками включено в несколько пунктов стандарта и заменило прежнее требование необходимости предупреждающих действий.

Подход к управлению рисками

Оцениваемые характеристки риска позволяют говорить об управлении рисками.

Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.

Управление рисками позволяет организации определить, в какой степени потенциальные события повлияют на достижение её целей. Согласно рекомендациям авторитетной организации COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:

представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
нацелено на определение событий, которые представляют опасность для организации.

У компании есть четыре варианта реакции на риск:

принятие риска, когда не предпринимается никаких особых действий, связанных с данным риском;
уменьшение риска посредством контроля за деятельностью и процессами либо принятия специальных мер;
передача риска сторонней организации путём привлечения партнёров или страховых компаний;
уклонение от риска — прекращение деятельности, ведущей к риску.

Остановлюсь особо на варианте уменьшения риска. Самая очевидная реакция на риск — организовать контроль за деятельностью и процессами. Однако этого не всегда достаточно: нередко риск требует принятия специальных мер. Различают несколько видов рисков:

присущий риск — это уровень риска, если не предпринимается никаких действий для изменения вероятности риска или его влияния;
остаточный риск — это уровень риска, остающийся после принятия минимальных мер по реагированию на риск (как правило, сюда входит контроль за деятельностью и процессами предприятия);
приемлемый остаточный риск — это уровень риска, равный или ниже допустимого в данной организации и в данных условиях.

Логика снижения уровня риска показана на рис. 1. Как правило, первоочередные меры реагирования на риск — контроль за ходом деятельности и процессами организации. Это снижает присущий уровень риска, но если остаточный риск все же выше, чем приемлемый для организации, то необходимо предусмотреть специальные меры реагирования на риск. В идеале эти меры должны быть достаточными, чтобы уменьшить остаточный риск до приемлемого уровня. Уровень риска, который организация готова принять, называется толерантностью к риску. Это индивидуальная характеристика: одни организации готовы рисковать чуть больше в надежде получить большую премию за риск, в то время как другие всячески обходят риски стороной.

Рис. 1. Общая логика снижения уровня риска до приемлемого уровня.

Стандарты управления рисками

В сентябре 2015 года Международная организация по стандартизации (International Organization for Standardization, ISO) опубликовала новую редакцию стандарта ISO 9001:2015. Одно из ключевых отличий от предыдущей версии — появление требований по управлению рисками. Требования по управлению рисками дополнили несколько пунктов стандарта и заменили прежнее требование необходимости предупреждающих действий.

Существуют стандарты, непосредственно посвящённые управлению рисками. Наиболее важные международные стандарты в области управления рисками приведены в таблице 1. Прежде всего, это семейство стандартов 31000, которое включает:

Таблица 1. Международные стандарты в области управления рисками предприятия.

В следующей части статьи мы поговорим о системе управления рисками и соотвествующем процессе.

Читайте также: