Р 50.1.090-2014
Группа Т59
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ
Менеджмент риска
КЛЮЧЕВЫЕ ИНДИКАТОРЫ РИСКА
Risk management. Key risk indicators
ОКС 13.200
Дата введения 2015-12-01
Предисловие
1 ПОДГОТОВЛЕНЫ Некоммерческим партнерством "Русское общество управления рисками" (РусРиск)
2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"
3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2014 г. N 1276-ст
4 ВВЕДЕНЫ ВПЕРВЫЕ
Правила применения настоящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
В центре проблем, рассматриваемых в настоящих рекомендациях, находится стратегическое и оперативное принятие решений в отношении контроля за изменением уровня риска, возникновением новых рисков. Цель настоящих рекомендаций - предоставить высшему руководству организации эффективный инструмент контроля, позволяющий своевременно реагировать на возникновение угроз, предпринимать превентивные действия, направленные на предотвращение наступления опасных событий и обеспечение гарантий достижения поставленных целей. Использование эффективных, экономичных и прозрачных методов позволяет упростить и усовершенствовать механизмы принятия решений в отношении менеджмента риска. В более широком контексте менеджмента ключевых индикаторов риска (КИР) рекомендации обеспечивают лиц, принимающих решения, процедурами, позволяющими определить необходимость и способ менеджмента риска.
Ключевые индикаторы риска играют важную роль в любой концепции менеджмента риска, являются инструментом мониторинга и контроля риска, могут выявить потенциальные опасные события. КИР позволяют проводить мониторинг динамики изменения уровня опасных событий за отчетный период, а также служат выражением предпочтительного риска организации. КИР наглядно отражают реальную опасность возникновения опасных событий, что является сигналом для руководства предпринять необходимые меры по менеджменту риска.
Как правило, КИР достаточно для отражения текущего уровня подверженности организации рискам. В отсутствие каких-либо серьезных изменений внутренней среды или рыночной ситуации ежемесячной сводки по КИР может быть достаточно для принятия мер по менеджменту риска организации.
В настоящих рекомендациях установлены требования к менеджменту ключевых показателей риска и приведено руководство по поддержанию выполнения этих требований.
Настоящие рекомендации полезны для организации, которая стремится:
1) разработать, внедрить, поддерживать в рабочем состоянии и улучшать систему менеджмента ключевых индикаторов риска;
2) демонстрировать выполнение требований настоящих рекомендаций тремя сторонами:
- первой - организацией, которая стремится соответствовать требованиям данных рекомендаций. Организация должна самостоятельно принять это решение и заявить о нем;
- второй - причастными лицами в организации, например, клиенты или другие лица, действующие от их имени, подтверждают такое соответствие;
- независимой третьей стороной, например орган по сертификации.
Настоящие рекомендации применимы ко всем организациям, занимающимся государственной или коммерческой деятельностью. Рекомендации устанавливают общие принципы формирования и применения ключевых индикаторов риска для государственных или коммерческих организаций различных форм собственности и видов выполняемой деятельности вне зависимости от числа работающих.
В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения
ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство
Примечание - При применении настоящих рекомендаций целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если ссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
В настоящих рекомендациях применены термины по ГОСТ Р 51897-2011, а также следующие термины с соответствующими определениями:
3.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целей.
_______________
В соответствии с Федеральным законом от 27 декабря 2002 г. N 184 "О техническом регулировании" "риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".
Примечания
1 Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).
2 Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).
3 Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.
4 Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.
5 Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.3 мониторинг (monitoring): Систематические проверки, надзор, обследования и определение состояния, проводимые для идентификации изменений требуемого или ожидаемого уровня функционирования.
[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]
3.4 ключевые индикаторы (показатели) риска (key risk indicators): Количественные показатели источников (факторов) риска.
3.5 внутренний аудит (internal audit): Деятельность по оценке надежности и эффективности системы внутреннего контроля в организации, системы менеджмента риска, эффективности и экономичности управления бизнес-процессами.
3.6 аппетит риска, предпочтительный риск (risk appetite): Способность и желание организации принимать на себя определенный риск для достижения своих стратегических целей.
Ключевые индикаторы риска (КИР) играют значительную роль в процессе управления. КИР используются для отслеживания и прогнозирования различных опасных событий. Их нацеленность на будущее существенно отличает их от ключевых показателей эффективности, которые, главным образом, направлены на анализ фактов. Разработка и внедрение КИР в систему менеджмента риска позволяет контролировать результативность процессов анализа и предотвращения риска. КИР позволяют осуществлять контроль значений так часто, как это необходимо.
Не существует универсального КИР, помогающего оценить одновременно все виды риска, все направления деятельности и т.д. Зачастую они специфичны для видов деятельности или процессов. Кроме того, важна чувствительность выбранных КИР к определенному виду риска.
4.1 Повышение эффективности контрольных процедур с помощью КИР
Для повышения эффективности контрольных процедур с помощью КИР необходимо:
- выбрать ключевые индикаторы для каждого значимого риска;
- определить интервалы значений КИР, соответствующие приемлемому риску, высокому риску и т.п.;
- документировать проведение мониторинга КИР и предоставления соответствующей отчетности руководству.
4.2 Объект превентивного контроля при проведении внутреннего аудита в области менеджмента риска
Система внутреннего аудита в области менеджмента риска позволяет дать оценку защищенности организации, акцентировать внимание высшего руководства на ключевых вопросах, оптимизировать и (или) скорректировать план мероприятий по минимизации риска, содействовать своевременному выявлению и повышению результативности менеджмента риска, улучшению взаимодействия отделов, ответственных за контроль и менеджмент риска и т.д. Акцентируя внимание в проверках на ключевых риске и эффективности управления ими, внутренний аудит ориентируется также на предотвращение опасных событий, минимизацию возможных убытков, повышение эффективности процессов. Документы системы менеджмента риска, являясь объектом проверок внутреннего аудита, обеспечивают дополнительный превентивный контроль.
Внутренний аудит сосредоточен на тех областях, которые содействуют привнесению ценностей в организацию.
Содействие развитию и эффективному функционированию системы менеджмента риска является одной из ключевых задач внутреннего аудита.
Поэтому внутренний аудит необходимо осуществлять в комплексе с менеджментом риска и выстраивать на его базе, что позволит своевременно выявлять и анализировать проблемы, формировать рациональный план проверки и эффективно распределять ресурсы, выявлять в ходе проверки случайную ошибку исполнителя или случаи мошенничества, определять нарушения при выполнении процедур. Интеграция процессов внутреннего аудита и системы менеджмента риска обеспечивает превентивный контроль и предотвращение наступления опасных событий, влияющих на достижение целей организации.
В качестве объектов внутреннего аудита необходимо рассматривать также не только финансовые документы, но и бизнес-процессы, и бизнес-среду, и связанные с ними риски. Эффективность проведения внутреннего аудита в значительной степени зависит от существующей информации, базы, способов ее оценки, которые наиболее полно отвечают целям аудита.
Основная роль внутреннего аудита в области менеджмента риска заключается в предоставлении собственнику и совету директоров выводов и заключений по эффективности деятельности системы менеджмента риска, управления бизнес-риском, возможностей для улучшения событий, способных повлиять на цели организации, а также содействие эффективному развитию системы менеджмента риска.
Выбранные источники информации, соответствующие критериям и целям аудита, деятельность и процессы, которые подвергаются аудиту, обеспечивают информацией, являющейся предпосылкой для объективных заключений по результатам аудита.
В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:
- реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;
- карту риска, которая отражает динамику изменения состояния защищенности организации во времени;
- панель риска, содержащая информацию о ключевых индикаторах риска и динамики их изменения во времени;
- отчеты о выполнении планов обработки риска;
- аналитическое заключение о защищенности организации - детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба.
Анализируя документы системы менеджмента риска, внутренний аудит акцентирует внимание на ключевом риске, опасных зонах, областях с наибольшим риском, что обеспечивает приоритезацию действий, увеличение охвата проверок и минимизацию трудовых затрат.
При этом система внутреннего аудита в области менеджмента риска позволит собственникам получить объективный взгляд на деятельность организации, а также понять, какие необходимо предпринять действия для повышения эффективности ее работы с учетом требований международных стандартов и лучшей международной и отечественной практики в области внутреннего аудита и менеджмента риска.
4.3 Определение предпочтительного риска
Предпочтительный риск:
- является стратегическим фактором и связан с достижением целей организации;
- является неотъемлемой частью корпоративного управления;
- определяет отношение организации к риску;
- способствует эффективному распределению ресурсов;
- является многомерным параметром, в том числе применительно к достижению целей в краткосрочной и долгосрочной перспективе процесса стратегического планирования;