• Текст документа
  • Статус
Действующий


Р 50.1.090-2014

Группа Т59

     
     
РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент риска

КЛЮЧЕВЫЕ ИНДИКАТОРЫ РИСКА

Risk management. Key risk indicators



ОКС 13.200

Дата введения 2015-12-01

     
     
Предисловие

1 ПОДГОТОВЛЕНЫ Некоммерческим партнерством "Русское общество управления рисками" (РусРиск)

2 ВНЕСЕНЫ Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

3 УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2014 г. N 1276-ст

4 ВВЕДЕНЫ ВПЕРВЫЕ


Правила применения настоящих рекомендаций установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящим рекомендациям публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


В центре проблем, рассматриваемых в настоящих рекомендациях, находится стратегическое и оперативное принятие решений в отношении контроля за изменением уровня риска, возникновением новых рисков. Цель настоящих рекомендаций - предоставить высшему руководству организации эффективный инструмент контроля, позволяющий своевременно реагировать на возникновение угроз, предпринимать превентивные действия, направленные на предотвращение наступления опасных событий и обеспечение гарантий достижения поставленных целей. Использование эффективных, экономичных и прозрачных методов позволяет упростить и усовершенствовать механизмы принятия решений в отношении менеджмента риска. В более широком контексте менеджмента ключевых индикаторов риска (КИР) рекомендации обеспечивают лиц, принимающих решения, процедурами, позволяющими определить необходимость и способ менеджмента риска.

Ключевые индикаторы риска играют важную роль в любой концепции менеджмента риска, являются инструментом мониторинга и контроля риска, могут выявить потенциальные опасные события. КИР позволяют проводить мониторинг динамики изменения уровня опасных событий за отчетный период, а также служат выражением предпочтительного риска организации. КИР наглядно отражают реальную опасность возникновения опасных событий, что является сигналом для руководства предпринять необходимые меры по менеджменту риска.

Как правило, КИР достаточно для отражения текущего уровня подверженности организации рискам. В отсутствие каких-либо серьезных изменений внутренней среды или рыночной ситуации ежемесячной сводки по КИР может быть достаточно для принятия мер по менеджменту риска организации.

1 Область применения


В настоящих рекомендациях установлены требования к менеджменту ключевых показателей риска и приведено руководство по поддержанию выполнения этих требований.

Настоящие рекомендации полезны для организации, которая стремится:

1) разработать, внедрить, поддерживать в рабочем состоянии и улучшать систему менеджмента ключевых индикаторов риска;

2) демонстрировать выполнение требований настоящих рекомендаций тремя сторонами:

- первой - организацией, которая стремится соответствовать требованиям данных рекомендаций. Организация должна самостоятельно принять это решение и заявить о нем;

- второй - причастными лицами в организации, например, клиенты или другие лица, действующие от их имени, подтверждают такое соответствие;

- независимой третьей стороной, например орган по сертификации.

Настоящие рекомендации применимы ко всем организациям, занимающимся государственной или коммерческой деятельностью. Рекомендации устанавливают общие принципы формирования и применения ключевых индикаторов риска для государственных или коммерческих организаций различных форм собственности и видов выполняемой деятельности вне зависимости от числа работающих.

2 Нормативные ссылки


В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство

Примечание - При применении настоящих рекомендаций целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если ссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Термины и определения


В настоящих рекомендациях применены термины по ГОСТ Р 51897-2011, а также следующие термины с соответствующими определениями:

3.1 риск (risk): Следствие влияния неопределенности на достижение поставленных целейР 50.1.090-2014 Менеджмент риска. Ключевые индикаторы риска.
_______________
Р 50.1.090-2014 Менеджмент риска. Ключевые индикаторы риска В соответствии с Федеральным законом от 27 декабря 2002 г. N 184 "О техническом регулировании" "риск - это вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".


Примечания

1 Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

2 Цели могут быть различными по содержанию (в области экономики, здоровья, экологии и т.п.) и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу).

3 Риск часто характеризуют путем описания возможного события и его последствий или их сочетания.

4 Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности.

5 Неопределенность - это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей.


[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.2 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в области риска.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.3 мониторинг (monitoring): Систематические проверки, надзор, обследования и определение состояния, проводимые для идентификации изменений требуемого или ожидаемого уровня функционирования.

[ГОСТ Р 51897-2011/Руководство ИСО 73:2009]

3.4 ключевые индикаторы (показатели) риска (key risk indicators): Количественные показатели источников (факторов) риска.

3.5 внутренний аудит (internal audit): Деятельность по оценке надежности и эффективности системы внутреннего контроля в организации, системы менеджмента риска, эффективности и экономичности управления бизнес-процессами.

3.6 аппетит риска, предпочтительный риск (risk appetite): Способность и желание организации принимать на себя определенный риск для достижения своих стратегических целей.

4 Общие положения


Ключевые индикаторы риска (КИР) играют значительную роль в процессе управления. КИР используются для отслеживания и прогнозирования различных опасных событий. Их нацеленность на будущее существенно отличает их от ключевых показателей эффективности, которые, главным образом, направлены на анализ фактов. Разработка и внедрение КИР в систему менеджмента риска позволяет контролировать результативность процессов анализа и предотвращения риска. КИР позволяют осуществлять контроль значений так часто, как это необходимо.

Не существует универсального КИР, помогающего оценить одновременно все виды риска, все направления деятельности и т.д. Зачастую они специфичны для видов деятельности или процессов. Кроме того, важна чувствительность выбранных КИР к определенному виду риска.

4.1 Повышение эффективности контрольных процедур с помощью КИР

Для повышения эффективности контрольных процедур с помощью КИР необходимо:

- выбрать ключевые индикаторы для каждого значимого риска;

- определить интервалы значений КИР, соответствующие приемлемому риску, высокому риску и т.п.;

- документировать проведение мониторинга КИР и предоставления соответствующей отчетности руководству.

4.2 Объект превентивного контроля при проведении внутреннего аудита в области менеджмента риска

Система внутреннего аудита в области менеджмента риска позволяет дать оценку защищенности организации, акцентировать внимание высшего руководства на ключевых вопросах, оптимизировать и (или) скорректировать план мероприятий по минимизации риска, содействовать своевременному выявлению и повышению результативности менеджмента риска, улучшению взаимодействия отделов, ответственных за контроль и менеджмент риска и т.д. Акцентируя внимание в проверках на ключевых риске и эффективности управления ими, внутренний аудит ориентируется также на предотвращение опасных событий, минимизацию возможных убытков, повышение эффективности процессов. Документы системы менеджмента риска, являясь объектом проверок внутреннего аудита, обеспечивают дополнительный превентивный контроль.

Внутренний аудит сосредоточен на тех областях, которые содействуют привнесению ценностей в организацию.

Содействие развитию и эффективному функционированию системы менеджмента риска является одной из ключевых задач внутреннего аудита.

Поэтому внутренний аудит необходимо осуществлять в комплексе с менеджментом риска и выстраивать на его базе, что позволит своевременно выявлять и анализировать проблемы, формировать рациональный план проверки и эффективно распределять ресурсы, выявлять в ходе проверки случайную ошибку исполнителя или случаи мошенничества, определять нарушения при выполнении процедур. Интеграция процессов внутреннего аудита и системы менеджмента риска обеспечивает превентивный контроль и предотвращение наступления опасных событий, влияющих на достижение целей организации.

В качестве объектов внутреннего аудита необходимо рассматривать также не только финансовые документы, но и бизнес-процессы, и бизнес-среду, и связанные с ними риски. Эффективность проведения внутреннего аудита в значительной степени зависит от существующей информации, базы, способов ее оценки, которые наиболее полно отвечают целям аудита.

Основная роль внутреннего аудита в области менеджмента риска заключается в предоставлении собственнику и совету директоров выводов и заключений по эффективности деятельности системы менеджмента риска, управления бизнес-риском, возможностей для улучшения событий, способных повлиять на цели организации, а также содействие эффективному развитию системы менеджмента риска.

Выбранные источники информации, соответствующие критериям и целям аудита, деятельность и процессы, которые подвергаются аудиту, обеспечивают информацией, являющейся предпосылкой для объективных заключений по результатам аудита.

В качестве объектов внутреннего аудита рекомендуется использовать следующие документы:

- реестр риска, включающий описание, категорию, причину, вероятность, воздействие на цели, предполагаемые ответные действия и текущее состояние выявленного риска;

- карту риска, которая отражает динамику изменения состояния защищенности организации во времени;

- панель риска, содержащая информацию о ключевых индикаторах риска и динамики их изменения во времени;

- отчеты о выполнении планов обработки риска;

- аналитическое заключение о защищенности организации - детальное описание риска с присвоением веса, оценкой вероятности и возможного ущерба.

Анализируя документы системы менеджмента риска, внутренний аудит акцентирует внимание на ключевом риске, опасных зонах, областях с наибольшим риском, что обеспечивает приоритезацию действий, увеличение охвата проверок и минимизацию трудовых затрат.

При этом система внутреннего аудита в области менеджмента риска позволит собственникам получить объективный взгляд на деятельность организации, а также понять, какие необходимо предпринять действия для повышения эффективности ее работы с учетом требований международных стандартов и лучшей международной и отечественной практики в области внутреннего аудита и менеджмента риска.

4.3 Определение предпочтительного риска

Предпочтительный риск:

- является стратегическим фактором и связан с достижением целей организации;

- является неотъемлемой частью корпоративного управления;

- определяет отношение организации к риску;

- способствует эффективному распределению ресурсов;

- является многомерным параметром, в том числе применительно к достижению целей в краткосрочной и долгосрочной перспективе процесса стратегического планирования;

- обеспечивает контроль за уровнем риска.

Значения слабого влияния КИР являются, в том числе, выражением предпочтительного риска в отношении каждого отдельного риска. Рекомендуется формировать диапазоны влияния ключевых индикаторов риска, определяя конкретные значения для слабого, умеренного и сильного влияния риска. Если ключевой индикатор риска находится в зоне слабого влияния, значит, риск остается в пределах определенного предпочтительного риска. Диапазоны влияния ключевых индикаторов риска и уровень предпочтительного риска организации непосредственно связаны. Зоны слабого, умеренного и сильного влияния каждого индикатора определяются на основании декомпозиции предпочтительного риска организации до уровня каждого отдельного риска или, наоборот, эскалация диапазонов влияния ключевых индикаторов по каждому отдельному риску способствует определению уровня предпочтительного риска организации.

Определение предпочтительного риска означает, что организация не устраняет риск. Организации, имеющие различные цели, принимают различный уровень предпочтительного риска. Не существует стандартного или универсального уровня предпочтительного риска. Прежде всего высшее руководство должно сделать выбор в определении предпочтительного риска, понимая компромиссы в том, что чем выше или ниже предпочтительный риск, тем больше или меньше ресурсов на менеджмент риска должно быть выделено, и цели организации должны быть достижимы с учетом сформированного уровня предпочтительного риска.

Риск и стратегии компании взаимосвязаны. Одно не существует без другого, их необходимо рассматривать в комплексе.

Для эффективного принятия предпочтительного риска организация должна решить две основные задачи:

- предпочтительный риск должен быть четко сформулирован и доведен до сведения всех сотрудников организации;

- руководству организации необходимо обеспечить регулярный контроль за уровнем предпочтительного риска, регулярно анализировать и пересматривать установленный уровень в соответствии с текущими условиями бизнеса, поставленными целями и задачами.

Действуя в пределах допустимого риска, руководство организации гарантирует, что влияние риска находится в пределах допустимой величины и цели организации будут достигнуты.

Предпочтительный риск необходимо:

- отображать в той же единице измерения, которую организация использует для измерения успеха;

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

Р 50.1.090-2014 Менеджмент риска. Ключевые индикаторы риска

Название документа: Р 50.1.090-2014 Менеджмент риска. Ключевые индикаторы риска

Номер документа: 50.1.090-2014

Вид документа: Р (Рекомендации)

Принявший орган: Росстандарт

Статус: Действующий

Опубликован: Официальное издание. М.: Стандартинформ, 2015 год, Фактическая дата официального опубликования стандарта - май 2014 года (информация с сайта http://www.gost.ru/ по состоянию на 03.06.2015)
Дата принятия: 08 октября 2014

Дата начала действия: 01 декабря 2015
Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах