Навігація
Головна
 
Головна arrow Страхова справа arrow ФІНАНСИ ОРГАНІЗАЦІЙ: УПРАВЛІННЯ ФІНАНСОВИМИ РИЗИКАМИ
Переглянути оригінал

ПОРІВНЯННЯ СТАНДАРТІВ ISO І COSO ERM.

Порівняння декількох ключових визначень ілюструє головні відмінності між принципами ISO 31000 та COSO ERM. Принцип COSO ERM є складною багатошаровою і заплутаною директивою, яку багатьом організаціям виявилося важко виконати. ISO надає більш раціональний і легше реалізовується підхід. ISO заснований на процесі управління і шляхом адаптації процесу до конкретної організації об'єднується в діючу систему управління та стратегічних цілей. Модель COSO базується на контролі і відповідно, і це сприяє тому} ?, що традиційним ризик-менеджерам стає важче втілити її в життя.

Якщо COSO впроваджується командою внутрішнього аудиту організації, то виникає проблема, що програму будуть інспектувати ті ж люди, які її розробляли; ISO ж, навпаки, дозволяє провести незалежний аудит на етапі моніторингу та аналізу.

Творцями COSO були аудитори, бухгалтери та фінансисти; ISO створювали практикуючі фахівці з управління ризиками та експерти з міжнародних стандартів.

Алгоритм управління ризиками відповідно до міжнародних з тандартам управління ризиками ISO 31000: 2009 наведено на рис. 3.4.

Алгоритм управління ризиками відповідно до міжнародних стандартів управління ризиками ISO 31000

Мал. 3.4. Алгоритм управління ризиками відповідно до міжнародних стандартів управління ризиками ISO 31000: 2009 "

Визначення ситуації. Визначаючи ситуацію, організація формулює свої цілі і планує зовнішні і внутрішні параметри, які будуть прийняті до уваги при управлінні ризиками, а також встановлює рамки і критерії ризику для решти процесу. У той час як багато хто з цих параметрів аналогічні тим, які розглядаються в проекті з управління ризиками, при визначенні контексту для процесу управління ризиками вони повинні розбиратися більш детально і, зокрема, потрібно зрозуміти, як вони співвідносяться з діапазоном процесу конкретного управління ризиками.

'ISO 31000: 2009 Risk Management Standard.

Визначення зовнішнього середовища. Розуміння зовнішнього середовища важливо для того, щоб гарантувати, що цілі і інтереси зовнішніх зацікавлених сторін беруться до уваги при розробці критеріїв ризику. Воно засноване на контексті всієї організації, але з конкретними деталями правових і нормативних вимог, подання зацікавлених сторін та інших аспектів конкретних ризиків в рамках процесу управління ризиками.

Визначення внутрішнього середовища. Процес управління ризиками повинен узгоджуватися з культурою, процесами, структурою і стратегією організації. До внутрішньому середовищі всередині організації відноситься все, що може вплинути на те, яким чином організація буде управляти ризиками.

Стан процесу управління ризиками. Цілі, стратегії, масштаб і параметри діяльності організації або тих її структур, де застосовується процес управління ризиками, повинні бути визначені. Управління ризиком має здійснюватися з урахуванням необхідності виправдати ресурси, використовувані при здійсненні управління ризиками. Необхідні ресурси, обов'язки і повноваження, а також форму звітності потрібно визначити.

Розробка критеріїв для виявлення ризиків. Організація повинна виявити критерії, які будуть використовуватися для оцінки ступеня ризику. Ці критерії повинні відображати цінності, цілі і ресурси організації. Деякі критерії випливають з правових, нормативних та інших вимог, взятих організацією.

На самому початку потрібно чітко визначити цілі, яких потрібно досягти. Які показники ефективності позначать досягнення поставлених цілей?

Визначення бізнес-цілей і пов'язаних з ними показників ефективності є першим кроком перед тим, як прийняти рішення, якими ризиками потрібно управляти для досягнення цих цілей. Таким чином, процес управління ризиками дає можливість консультуватися з іншими людьми і уточнювати напрямки розвитку бізнесу. Законодавчі, політичні, культурні та соціально-економічні умови повинні бути також враховані при управлінні ризиками.

Керівники всіх рівнів повинні переглядати свою роль у проведенні більш широких організаційних стратегій і досягненні цілей при прийнятті рішень про ризик. Аналіз і уточнення бізнес-цілей в бізнес-плані можуть також допомогти процесу управління ризиками.

Ідентифікація ризику . Мета цього кроку полягає в створенні повного списку ризиків на основі тих подій, які могли б створити, посилити, запобігти, погіршити, прискорити або сповільнити досягнення цілей. Комплексна ідентифікація має вирішальне значення, так як ризик, що не виявлена на цій стадії, буде виключений з подальшого аналізу. Тут важливо переконатися в тому, що забезпечений максимальне охоплення ризиків.

Ідентифікація ризику включає в себе вивчення усіх джерел ризику і перспективи всіх зацікавлених сторін, як внутрішніх, гак і зовнішніх. Важливо визначити кожне джерело ризику, щоб в аналізі був врахований внесок кожного в ймовірність і наслідки його можливої реалізації.

Для виявлення ризиків і розуміння їх ймовірності і наслідків потрібно використовувати достовірні джерела інформації. Хоча не завжди можна отримати найактуальнішу або повну інформацію, проте вона повинна бути настільки повноцінної, достовірної та своєчасної, наскільки дозволять ресурси.

Необхідно пам'ятати і про те, що деякі ризики не піддаються об'єктивному аналізу або спостереження, а витрати на збір всіх даних можуть виявитися невиправдано високими в порівнянні з отриманою вигодою.

Можливі такі методи ідентифікації ризиків: аудит або фізичні перевірки, мозковий штурм, діаграми рішень, місцеві або зарубіжні експертизи, експертна оцінка, графіки, аналіз структури системи, аналіз систем, методика проектування систем, інтерв'ю / обговорення в фокус-групі, оперативне моделювання, особистий досвід або минулий досвід організації, аналіз сценарію, аналіз сильних і слабких сторін, можливостей і загроз (SWOT), анкетування та аналіз структури розподілу завдань.

Можливими джерелами ризику є:

  • • зупинка виробничої або комерційної діяльності, порушення комерційних зв'язків і правових відносин;
  • • порушення умов зберігання інформації, включаючи обов'язок надавати або заборонити доступ;
  • • ринкова діяльність компанії;
  • • рішення органів управління;
  • • природні явища;
  • • недотримання вимог до охорони здоров'я та промислової безпеки;
  • • поведінка персоналу, людський фактор;
  • • різні види цивільної та іншої відповідальності;
  • • соціально-економічні фактори;
  • • операційна діяльність компанії.

Можливі зони впливу ризику такі: ціна базисних активів і ресурсів, прямі і непрямі витрати, спільнота, нематеріальні активи, виробниче середовище, організаційна поведінка, персонал, продуктивність праці, якість виконання роботи, своєчасність дій, в тому числі час початку робіт, подальші дії або результат виконаних дій.

Якщо розглянути фінансові ризики , то розрізняють наступні сфери їх виникнення та впливу:

  • • управління активами / іассівамі;
  • • аудиторський ризик;
  • • безнадійні борги;
  • • дефіцит управління активами / фондами;
  • • перерву в діяльності організації (промисловий конфлікт, перерва в поставках, втрата журналів обліку, поломка обладнання, перерва в наданні комунальних послуг);
  • • зміни обмінного курсу;
  • • штрафи / судові збори;
  • • шахрайство;
  • • неточний облік і (або) неправильна система ведення звітності;
  • • неадекватна система калькуляції собівартості (яка веде до нестійкого ціноутворення);
  • • недостатнє страхування;
  • • ризик знецінення запасів (моральний знос, товарні втрати);
  • • недбалість;
  • • дефіцит вхідних грошових потоків;
  • • надмірна залежність від невеликого числа клієнтів / постачальників.

Аналіз ризику . Аналіз ризиків включає в себе розвиток розуміння ризику

і надає вихідні дані для оцінки ризику з подальшим прийняттям рішення про те, чи потрібно усувати ризик і яка стратегія і методика усунення ризику найбільш доречна. Аналіз ризику може також забезпечити вихідні дані для прийняття рішень в ситуаціях, коли потрібно робити вибір між варіантами ризиків різних типів і рівнів 1 .

З метою формалізації отриманих даних застосовуються таблиці оцінки ризику за ймовірністю і серйозності наслідків. Приклади таблиць для визначення рівня ризику в залежності від ймовірності і наслідків наводяться нижче.

Імовірність. Формалізація ймовірності ризикових подій представлена в табл. 3.4.

Таблиця 3.4

Чотирьохрівнева система оцінки ймовірності

характеристика події

опис

індикативна

частота

майже напевно

Подія відбудеться в більшій частині ситуацій

Один раз на рік або частіше

ймовірне

Подія може відбутися хоча б один раз

Один раз на три роки

можливе

Подія може коли-небудь статися

Один раз в 10 років

неймовірне

Подія навряд чи станеться

Один раз в 30 років

Інший підхід до побудови шкали ймовірності на основі оціночної ймовірності представлений в табл. 3.5.

Таблиця 3.5

П'ятирівневий підхід до оцінки ймовірності

Якщо ризик ...

Те його оцінна вірогідність ...

Швидше за все, наступить в більшості ситуацій

майже напевне

Може наступити в більшості ситуацій

ймовірно

Може колись настати, і це важко контролювати через будь-якого зовнішнього впливу

можливо

Може наступити коли-небудь

неймовірно

Може наступити тільки за виняткових обставин

малоймовірно

Важливо відзначити, що для оцінки ймовірності не існує підходу, який є «правильним» або «неправильним»: кожна організація повинна розробити власну «шкалу ймовірності», яка підходить для оцінки різних видів ризику в цій організації.

Наслідки. Формалізація наслідків настання ризикових подій приведена в табл. 3.6.

Таблиця 3.6

Ілюстрація наслідків з акцентом на різних організаційних наслідки настання фінансового ризику

Категорія наслідків (в порядку зростання серйозності)

незначний

ні

Значно

ні

екстремали

ні

вирішальні

Фактор наслідків: - фінансові (по організації в цілому або її окремого підрозділу); ••• »

-2% місячного бюджету і (або) до 40000 дол. США

-5% місячного бюджету і (або) до 100000 дол. США

-10% місячного бюджету і (або) до 500000 дол. США

-15% місячного бюджету і (або) до 1000000 дол. США

Те, як можна використовувати показники, що поєднують одночасно шкали оцінки ймовірності та наслідків, ілюструє табл. 3.7.

Таблиця 3.7

Чотирьохрівнева матриця формалізації рівня ризику і наслідків

імовірність

наслідки

незначні

значні

екстремальні

радикальні

Майже напевно

середній

високий

серйозний

серйозний

ймовірно

низький

середній

високий

серйозний

можливо

низький

середній

високий

високий

неймовірно

низький

низький

середній

високий

пояснення:

Серйозний ризик - необхідні негайні дії; відповідальність покладається на керівництво / правління.

Високий ризик - необхідна увага керівника організації; відповідальність лягає на директорів, потрібно розподіл обов'язків.

Середній ризик - управління здійснюється через зворотний зв'язок або процедури контролю з боку підзвітних лінійних керівників.

Низький ризик - управління здійснюється за допомогою звичайних процедур, для яких навряд чи знадобляться спеціальні ресурси.

«Матриця ризику», що приводиться як табл. 3.8, використовує п'ять оцінок ймовірності і наслідків, а результати оцінюваного ризику наведені на чотирьох рівнях: екстремальному, високому, помірному і низьким.

П'ятирівнева матриця формалізацій рівня ризику і наслідків

Таблиця 3.8

імовірність

наслідки

катастрофічні

серйозні

помірні

мінімальні

незначні

Майже напевно

Е

Е

Е

II

Н

ймовірно

Е

Е

Н

Н

М

можливо

Е

Е

Н

М

L

неймовірно

Е

Н

М

L

L

малоймовірно

Н

Н

М

L

L

пояснення:

Е - екстремальний (потрібно докладне дослідження і планування управління на рівні керівної ланки);

Н - високий (потрібна увага керівників старшої ланки);

М - помірний (можна керувати за допомогою спеціальних процедур контролю або зворотного зв'язку);

L - низький (можна керувати за допомогою стандартних процедур).

Приклад простий матриці ризиків з «ключем усунення ризику» демонструє табл. 3.9.

Таблиця 3.9

Матриця ризиків з «ключем усунення ризику»

подія

вплив

дуже висока

середнє

дуже низька

високій ймовірності

пріоритет 1

пріоритет 1

пріоритет 2

можливе

пріоритет 1

пріоритет 2

пріоритет 3

малоймовірне

пріоритет 2

пріоритет 3

пріоритет 3

пояснення:

Пріоритет 1 - потрібні термінові дії;

Пріоритет 2 - потрібні цілеспрямовані дії;

Пріоритет 3 - управління ризиком відбувається за допомогою стандартних операційних процедур.

Якщо використовуються кількісні шкали оцінки, то окремі ризики та можливості можна наносити на один і той же графік, щоб показати їх відносні рівні.

На рис. 3.5 приведена шкала по можливостям і наслідків, причому горизонтальна шкала наслідків знаходиться в діапазоні від -5 (катастрофічний негативний результат) до +5 (найкращий результат), а ймовірність показана на вертикальній шкалі від 0 до 1.

Приклад шкал по можливостям і наслідків

Мал. 3.5. Приклад шкал по можливостям і наслідків 1

Оцінювання ризику. Оцінювання ризику включає в себе порівняння рівня ризику, виявленого в процесі аналізу, з критеріями ризику, встановленими в період вивчення контексту. На основі цього порівняння визначається потреба в усуненні ризику.

Цей крок дозволяє вирішити, чи є ризики допустимими або неприйнятними. Якщо ризик вважається допустимим, то його не потрібно усувати в подальшому.

Оцінка повинна враховувати ступінь контролю кожного ризику і вплив витрат, вигод і можливостей, що з'являються в зв'язку з цими ризиками.

Ступінь ризику і важливість політики, програми, процесу чи діяльності потрібно розглядати при ухваленні рішення, якщо ризик є допустимим.

Ризик може бути допустимим, якщо наслідки і ймовірність такого ризику узгоджуються з встановленими критеріями, в яких обумовлюється той поріг, за яким вплив буде неприйнятним для організації. Здатність організації впоратися з інцидентом буде в значній мірі залежати від її розміру і фінансової стійкості.

Ризик може бути допустимим з наступних причин:

  • а) можливості переважують загрози до такої міри, що ризик може бути виправданий;
  • б) рівень ризику настільки низький, що конкретних заходів щодо його усунення в межах наявних ресурсів не потрібно; [1]
  • в) ризик знаходиться поза зоною контролю організації;
  • г) витрати на усунення ризику, в тому числі витрати на страхування, так явно перевищують результат, що допустимість залишається єдиним варіантом.

Ризики, що не зважають прийнятними, повинні бути усунені, причому для них встановлюється черговість подальших дій з управління в рамках запланованих організацією заходів ризик-менеджменту.

Для визначення рівня «терпимості до ризику організації» може застосовуватися концепція ALARP ( «ризик низький, наскільки це практично можливо»), представлена графічно на рис. 3.6.

Ілюстрація концепції ALARP

Мал. 3-6. Ілюстрація концепції ALARP 1

Ширина конуса на рис. 3.6 вказує на розмір ризику, якому піддається організація. Горизонтальні пунктирні лінії визначають два критерії:

  • 1) рівень, на якому ризик незначний і може бути прийнятий без спеціальних заходів щодо його усунення, крім моніторингу;
  • 2) рівень, на якому ризик є неприпустимим і діяльність слід припинити, якщо ризик не може бути зменшений.

Між цими рівнями є зона, де враховуються витрати і вигоди. Коли ризик наближається до неприпустимого рівня, слід очікувати, що ризик повинен бути зменшений, інакше витрати на його зниження будуть явно невідповідними з можливими вигодами. Коли ризики наближаються до прийнятної області, необхідно вжити таких заходів до їх подальшого зменшення, щоб вигоди від цього перевищили витрати. [1]

Існують пов'язані поняття, такі як «ризик настільки низький, наскільки це розумно досяжно ( ALARA)» на підставі балансу витрат і вигод, і поняття «De minimus» (ризик мінімальний), що ігнорує витрати по усуненню в прагненні до зниження ризику до незначного рівня будь ціною.

Вираз «розумно досяжний» має відношення: а) до серйозності даної небезпеки або ризику; б) знання про цю небезпеку або ризик і способи їх усунення або зменшення; в) доступності та доцільності способів усунення або зменшення небезпеки або ризику; г) вартості усунення або зменшення небезпеки або ризику.

Вплив на ризик. Вплив включає в себе вибір одного або декількох варіантів зниження ризиків і подальшу реалізацію цих варіантів. Після виконання заходів щодо усунення ризиків може статися трансформація в системі контролю за ними.

На цьому етапі відбувається обговорення варіантів усунення ризиків, які на попередньому етапі не були визнані допустимими. Часто найбільш доцільним для усунення ризиків є поєднання різних варіантів впливу: попередження, зниження, диверсифікація, збереження.

Запобігання ризику здійснюється шляхом прийняття рішення про те, чи слід приступити до діяльності, яка містить неприйнятний ризик (якщо це можливо), вибору альтернативної, більш прийнятною діяльності, яка відповідає цілям і задачам організації, або вибору альтернативної менш ризикований методології або процесу в межах діяльності .

Варіант прийняття альтернативної практики з більш низьким ризиком зменшує наслідки і (або) ймовірність заподіяння шкоди або збитків, отже, є мірою зменшення, але не обов'язково усунення ризику. Уникнення ризику еквівалентно відмови прийняти на себе ризик.

Зниження ймовірності або наслідків ризиків або і того, і іншого передбачає компроміс між рівнем ризику і витратами на скорочення цих ризиків до прийнятного рівня. Як вже говорилося, прийнятний рівень повинен узгоджуватися із встановленими критеріями ризику. Співвідношення між ризиком і витратами на зменшення конкретного ризику показано на рис. 3.7.

Якщо зниження ризику буде визнано і можливим, і економічно ефективним, знадобиться фінансування і відповідальна особа, яке прослідкує за тим, щоб заходи по зниженню ризику реалізовувалися відповідно до програми.

Диверсифікація ризиків, в повному обсязі або частково, може бути також одним з кращих варіантів дій. Якщо ризики диверсифицируются цілком або частково, організація, яка передає ризик, набуває невизначеність в тому, чи впорається з ризиком той фінансовий інститут, якому ризик був переданий.

Збереження - дія щодо будь-яких залишкових ризиків після завершення заходів щодо зниження ризиків. Можуть бути також збережені ті ризики, які необхідно зберегти на вимогу регулюючих органів, з політичних, моральних і інших причин (такий варіант може розглядатися установами державного сектора). Крім того, зберігаються ризики, що не були виявлені.

Компроміс між рівнем ризику і рівнем витрат на його

Мал. 3.7. Компроміс між рівнем ризику і рівнем витрат на його

зниження 1

Планованої частиною процесу управління ризиками повинні бути моніторинг і аналіз. Ризики повинні регулярно перевірятися або контролюватися. Вони можуть бути періодичними або здійснюватися по мірі необхідності.

Моніторинг і аналіз є важливим невід'ємним етапом в процесі управління ризиками. Необхідно контролювати ризики, ефективність плану, стратегії і системи управління, які були створені для контролю виконання процедур ризику.

Ризики повинні періодично контролюватися, щоб переконатися в тому, що змінилися обставини не змінюють пріоритетів ризику.

Програми та процеси змінюються в зв'язку зі змінами політичної, соціальної, правової середовища і цілями організації. Відповідно, необхідно переглядати умови виникнення ризику для того, щоб переконатися, що застосовуваний спосіб управління ризиками залишається ефективним.

Принципи управління ризиками мають досить загальний характер, але їх застосування залежить від контексту і навколишнього середовища. Процес аналізу і моніторингу гарантує, що стратегії управління ризиками як і раніше є важливою частиною бізнес-процесів організації. [1]

  • [1] KW & Р Knight Presentation to the RusRisk / Marsh «ISO 31000 Risk managementstandard: principle and implementation trends», Seminar, Moscow on 15th December 2010 року.
  • [2] KW & Р Knight Presentation to the RusRisk / Marsh «ISO 31000 Risk managementstandard: principle and implementation trends», Seminar, Moscow on 15th December 2010 року.
  • [3] KW & Р Knight Presentation to the RusRisk / Marsh «ISO 31000 Risk managementstandard: principle and implementation trends», Seminar, Moscow on 15th December 2010 року.
 
Переглянути оригінал
< Попередня   ЗМІСТ   Наступна >
 
Дисципліни
Агропромисловість
Аудит та Бухоблік
Банківська справа
БЖД
Географія
Документознавство
Екологія
Економіка
Етика та Естетика
Журналістика
Інвестування
Інформатика
Історія
Культурологія
Література
Логіка
Логістика
Маркетинг
Медицина
Нерухомість
Менеджмент
Педагогіка
Політологія
Політекономія
Право
Природознавство
Психологія
Релігієзнавство
Риторика
Соціологія
Статистика
Техніка
Страхова справа
Товарознавство
Туризм
Філософія
Фінанси
Пошук