ISO, менеджмент, консалтингпользователи сайтаRSSФОРУМСТАНДАРТЫГОСТ РСЛОВАРЬНАВИГАТОРКОНСУЛЬТАНТЫ 
Логин : Пароль:   
       [регистрация] [напомнить пароль]
 

ФОРУМ
• Re: методики описания БП 
 23. Окт 08:43 от PrilipkoAI
• ISO 22000:2018 
 10. Сент 23:29 от GurbanovR
• HACCP vs FSMS 
 23. Авг 10:52 от PrilipkoAI
• Re: план контроля качества 
 13. Авг 12:07 от Facebook



Как выстроить менеджмент риска организации в соответствии с ISO 31000:2009

Страница для печати 

  • размещено в разделе: Планирование и контроль
  • Автор: FilippovOR


  • найти еще статьи по теме:


    Как выстроить менеджмент риска организации в соответствие с ISO 31000:2009 – руководство для топ менеджмента организации.

    Организации всех типов и размеров оказываются перед внутренними и внешними факторами и воздействиями, которые вносят неопределенность в достижение поставленных целей. Эффект, который эта неопределенность имеет на достижении целей организации, является "риском". Все действия организации связаны с риском. Организации управляют риском, идентифицируя его, анализируя и затем оценивая, должен ли риск быть изменен обработкой, чтобы удовлетворить критериям риска.

    В течение этого процесса они общаются и консультируются с причастными сторонами, осуществляют мониторинг и обзор риска и средств контроля, которые его изменяют, чтобы гарантировать, что никакая дальнейшая обработка риска не требуется. Недавно вышедший глобальный стандарт ISO 31000:2009 "Менеджмент риска принципы и рекомендации" и его компаньоны ISO 31010:2009 "Менеджмент риска техники оценки риска" и ISO/IEC 73:2009 "Менеджмент риска терминология" описывают этот систематический и логический процесс в деталях.

    Чтобы продвигать менеджмент риска организации (ERM) в соответствии с ISO 31000:2009 рекомендуется предпринять пять "простых" шагов:

    1. изменение понятий для риска и менеджмента риска,
    2. принятие "процесса менеджмента риска",
    3. принятие "системы менеджмента риска",
    4. оценка зрелости системы менеджмента риска и
    5. разработка плана для старта и сохранения движения системы менеджмента риска.

    Рекомендациями могут воспользоваться там, где еще не приступали к внедрению ERM, там, где эта стратегия была принята, но пока еще не работает эффективно, а также там, где за основу была принята модель COSO 1 .

    Пять "простых" шагов к внедрению системы менеджмента риска организации

    Шаг 1 - Изменение понятий для риска и менеджмента риска

    Много практиков менеджмента риска ужу осознали, что очень трудно осуществить эффективный менеджмент риска в организации, если у менеджмента, особенно на старшем уровне, нет зрелого понимания риска и как им можно управлять.

    ISO/IEC 73 определяет риск как: "эффект неопределенности в достижении целей". Конечно, новое определение далеко от понятий большинства, которые все еще представляют риск как "опасность" или "что то, что идет не так, как надо". К сожалению, во многих организациях часто путают понятия "риск" и "опасность", а связь между целями, и риском должным образом не понята и не оценена.

    ISO 31000 нацелен на риск, являющийся неопределенностью, которая находится между нами и нашими целями. Эта концепция довольно проста и, конечно, очень важна для менеджеров и руководителей. Она подразумевает нисходящий подход, где менеджмент риска становится ключевым процессом, чтобы позволить организации определить и достигнуть своих целей. Риск ни положителен, ни отрицателен. Это только риск. Конечно, последствия могут быть и отрицательными и положительными, и главная цель процесса менеджмента риска состоит в обработке причин риска, таким образом, чтобы увеличить вероятность и размер положительного, желательного последствия и наряду с этим, действовать так, чтобы сократить вероятность и размер отрицательного, вредного последствия. Иллюстрация такого подхода к обработке риска приведена на рисунке 1.

    Иллюстрация понятий для риска и менеджмента риска
    Рисунок 1: Иллюстрация понятий для риска и менеджмента риска

    Если менеджмент, особенно высшее руководство, не оценит эти концептуальные понятия для риска и менеджмента риска, тогда никакие реальные успехи не могут быть сделаны во внедрении стандарта. Достижением этого понимания нужно заняться, прежде всего, при получения полномочий на внедрение стандарта.

    Шаг 2 - Принятие "процесса менеджмента риска"

    В стандарте ISO 31000 используется процесс менеджмента риска для управления всеми формами риска, который приведен на рисунке 2.

    Процесс менеджмента риска
    Рисунок 2: Процесс менеджмента риска

    Установление контекста. Процесс менеджмента риска должен начинаться с определения того, что мы хотим достигнуть и попыткой понять внешние и внутренние факторы, которые могут влиять на успех в достижении наших целей. Этот шаг называют,"установление контекста" и он является существенным предшественником идентификации риска. Важной частью установления контекста является идентификация наших заинтересованных лиц, понимание их целей, для того, чтобы мы могли решить, как вовлечь их и принять их цели во внимание при установлении критериев риска. Анализ заинтересованных лиц часто рассматривается как часть шага "коммуникации и консультации", деятельности, которая продолжается в течение всего процесса менеджмента риска.

    Следующие три элемента процесса,"идентификация", "анализ" и "оценивание" риска включают то, что обычно называют "оценкой риска".

    Идентификация риска вовлекает применение систематического процесса, чтобы понять то, что могло произойти, как, когда и почему? Формирование понимания причин рисков жизненно важно для принятия адекватных форм обработки риска. Отказ использовать систематический процесс для идентификации риска может привести организации к концентрации своего внимание на "хорошо известных" рисках и, следовательно, пропустить те, что "мало известны" или "вообще неизвестны", которые впоследствии никогда нельзя будет адекватно обработать. Идентификация риска должна, также, идентифицировать существующие средства контроля, которые изменяют последствия или их вероятность.

    Анализ риска касается развития понимания каждого риска, его последствий и вероятности этих последствий. Он вовлекает намного больше, чем простое применение матрицы (или карты рисков), которые используют некоторые организации для осуществления ранжирования рисков. Например, понимание эффективности существующих средств контроля и их недостатков, является жизненно важной частью анализа риска и должно быть исследовано прежде, чем будет принято заключение об уровне риска.

    Оценивание риска вовлекает принятие решения об уровне или приоритете каждого риска через применение критериев, развитых при установлении контекста. Риски располагаются по приоритету для рассмотрения и далее проводится анализ экономической эффективности, чтобы определить целесообразность их обработки.

    Обработка риска процесс, которым улучшаются существующие средства контроля или разрабатываются и осуществляются новые. Средства контроля – пути, которыми стремятся изменить риски. Они могут считаться "инструментами реализации" для наших целей. Обработка риска обычно вовлекает действия, которыми стремятся изменять или вероятность последствий или тип и величину этих последствий. Обработка риска может вовлекать увеличение подверженности организации риску, для тех, кто это предпочитает и из которой они могут извлечь выгоду, так же как ограничение подверженности для тех, кому этому не нравится.

    Различные варианты для обработки риска всегда необходимо принимать во внимание. Решение о наиболее приемлемом варианте для организации при преследовании цели, может быть принято посредством проведения анализа экономической эффективности различных вариантов. Этот анализ должен быть далее переведен на определенные действия или задачи, которые формируют "план обработки риска".

    Мониторинг и обзор. Новые риски появляются, а существующие риски изменяются, поскольку внутренняя и внешняя среда организации изменяется. Иногда эти изменения происходят из за того, что обработка риска вводит новые риски. Часто, мы находим, что риски изменились, потому что средства контроля, на которые мы, возможно, опирались долгие годы, стали несоответствующими или неэффективными. Если организация не осуществляет мониторинг изменения ее внутреннего и внешнего контекста и обзор того, остаются ли ее средства контроля эффективными, тогда понимание рисков, которым подвергается организация и уровни этих рисков могут быть неправильными.

    Один из самых эффективных способов осуществления мониторинга рисков посредством просмотра окружения людьми, в обязанность которым вменяется обеспечение своевременной и соответствующей оценки, и обработки каждого риска. Таких людей называют "владельцами риска". Точно так же "владельцы средств контроля", являются ответственными за обеспечение того, что средства контроля остаются соответствующими и эффективными. Владельцы средств контроля делают это через запланированные программы безопасности, основанные на подходах, таких как самооценка средств контроля или систем менеджмента.

    Другое очень эффективное средство для мониторинга и обзора риска и средств контроля в организации это стремление учиться на успехах и неудачах, и делать это последовательно. Обычно, это адресовано использованию анализа первопричин, чтобы гарантировать, что причины систематически идентифицируются. Важно то, что это приводит к извлечению уроков и принятию мер, которые позволяют повторить успехи и предотвратить неудачи в будущем.

    Шаг 3 - Принятие "системы менеджмента риска"

    Раздел 4 ISO 31000 содержит рекомендации относительно того, как система должна разрабатываться, осуществляться, совершенствоваться и быть эффективной. Рисунок 3 содержит схему шагов, приведенных в этом разделе стандарта, которые основаны на модели менеджменте качества "Деминга": Plan Do Check Act. Именно это объединяет ISO 31000 со всеми стандартами серии ISO. Все аспекты управления связанны с неопределенностью в достижении целей таких как: финансы, доля рынка, репутация, удовлетворение заказчиков, качество, безопасность здоровья и окружающей среды и это делает ISO 31000 ключевым в "интегрированных системах управления".

    Конечно, система менеджмента риска должна быть разработана так, чтобы удовлетворить организации, ее внутреннему и внешнему контексту. Эта система для всех организаций, безотносительно их размера или цели, должна содержать определенные существенные элементы для менеджмента риска, чтобы быть эффективной, включая и элементы информационной системы и процесса менеджмента риска, которые приведены на рисунке 3.

    Шаги для разработки, осуществления и поддержки системы менеджмента риска и ее характерные элементы и процессы
    Рисунок 3: Шаги для разработки, осуществления и поддержки системы менеджмента риска и ее характерные элементы и процессы

    Отправная точка для улучшения подхода организации к менеджменту риска должна всегда начинаться с GAP анализа, который берет во внимание характерные элементы системы менеджмента риска и оценивает, какие элементы и процессы присутствуют в настоящее время. Если какой либо из существенных элементов отсутствует, маловероятно, что менеджмент риска будет эффективным. Обычно эта оценка проводится, используя протокол GAP анализа, выдержка из которого приведена на рисунке 4.

    Секция протокола GAP анализа
    Рисунок 4: Секция протокола GAP анализа

    Шаг 4 - Оценка зрелости системы менеджмента риска

    К сожалению, некоторые организации, которые попытались осуществить ERM и другие формы менеджмента риска в прошлом, были неосмотрительными или следовали за несовершенным стандартом. Из за этого можно часто столкнуться с дисфункциональными системами менеджмента риска, которые рассматриваются только с точки зрения представления отчетности о рисках, а не с их эффективной обработкой.

    Раздел 3 ISO 31000 содержит список практических и важных "принципов", которые должны служить отправной точкой для оценки зрелости системы менеджмента риска. Эти принципы адресуются не только тому, "существует ли элемент, процесс или система?", но также и,"эффективны ли они и релевантны ли они для Вашей организации?" и " увеличивают ли они стоимость организации?". Фактически первый принцип третьего раздела заключается в том, что менеджмент риска должен увеличивать стоимость организации.

    Секция протокола оценки зрелости
    Рисунок 5: Секция протокола оценки зрелости

    Приложение к ISO 31000 также содержит список признаков, которые представляют совершенство менеджмента риска. Они должны восприниматься как перспектива при постановке целей для осуществления хорошего процесса и системы менеджмента риска. Рисунок 5 демонстрирует в качестве примера оценку против "принципов" и "признаков".

    Шаг 5 - Разработка плана для старта и сохранения движения системы менеджмента риска

    План для старта системы менеджмента риска. Необходимо, чтобы человек или команды, которые ведут деятельность в области менеджмента риска, создали план, показывающий меры, которые будут предприняты первоначально, чтобы "запустить" менеджмент риска согласно ISO 31000. Этот план должен быть тщательно разработан, поскольку он станет основой для эффективного менеджмента риска и путеводителем, за которым последует целая организация.

    План должен включать:

    • Проведение GAP анализа и оценку зрелости;
    • Назначение спонсора и получение ясных полномочий;
    • Установление реалистического расписания (годы);
    • Получение бюджета (и некоторой помощи?);
    • Затраты достаточного количества времени для подготовки и принятия решения по запуску
      менеджмент риска;
    • Притирка в процессах (один год?);
    • Определение "ранних последователей" для надежного начала работы с ними;
    • Определение "саботажников" для привлечения их позже;
    • Рассмотрение возможности для "демонстрации" успехов менеджмента риска.

    В частности, план должен включать стратегию, которая будет принята, чтобы "задействовать" менеджмент в нижележащих слоях организации, поскольку система менеджмента риска "катится" сверху вниз.

    План для cохранения движения системы менеджмента риска.

    Часто организации начинают менеджмент риска успешно, но после первых нескольких месяцев, процесс может застопориться, и импульс движения теряется. Это может явиться результатом изменения в штате или лидерстве, но часто происходит, потому что высшее руководство предполагает, что менеджмент риска больше не нуждается в их внимании, которое отвлекается к некоторой другой инициативе или проекту. Существенно, что такие проблемы возникают вследствие восприятия менеджмента риска как краткосрочной "инициативы" или "проекта" и нет никакого понимания, что осуществление ERM требует существенного изменения культуры. Часто существует нереалистичное понимание того, сколько времени необходимо для изменения культуры организации, охватывающее и включающее менеджмент риска. Некоторые изменения могут произойти быстро, но это действительно требует, серьезных усилий и внимания менеджмента, чтобы сделать менеджмент риска саморазвивающимся. По этим причинам для организаций также важно запланировать то, как они поддержат, подкрепят, улучшат и адаптируют свои подходы к менеджменту риска в период изменения внешнего и внутреннего контекста.

    Ключевые действия, чтобы сделать систему менеджмента риска саморазвивающейся включают:

    1. Встраивание процессов менеджмента риска в ключевые бизнес процессы. Например, используя оценку риска в качестве части менеджмента изменений, объединяя разработку стратегического плана с оценкой риска и анализом первопричин, выстраивая ответственность и навыки линейного менеджмента в пересмотре и обеспечении средств контроля.
    2. Применение исполнения процессов менеджмента к менеджменту риска, как на персональном уровне, так и на уровне организации. Это вовлечет линейный менеджмент в создание, ответственности за их собственные планы менеджмента риска, укрепление ответственности за риски и средства контроля посредством осуществления мониторинга и отчетности с использованием информационной системы менеджмента риска и настройкой системы периодической "самооценки" менеджмента и последующей ее верификации путем проведения внутреннего аудита. Пример этого приведен на рисунке 6.
    Пример самооценки зрелости менеджмента
    Рисунок 6: Пример самооценки зрелости менеджмента

    Зарубежная и казахстанская практика менеджмента риска на основе модели COSO ERM

    В настоящее время в зарубежных источниках информации обнаруживается много сигналов, когда организации, пытающиеся осуществить систему COSO ERM, не удовлетворены продвижением, которое они сделали в этом направлении и ищут подход, который наилучшим образом подходит для их стратегического менеджмента. Существует ряд публикаций, в которых практикующие профессионалы в области менеджмента риска указывают на технические и практические слабости модели COSO ERM2, которые фактически запутывают процесс оценки риска3 и делают его трудно осуществимым4. С выходом ISO 31000:2009 становится совершенно очевидными основные несовершенства модели COSO ERM, связанные с отсутствием ряда существенных компонентов менеджмента риска. Сравнительный анализ систем менеджмента риска в соответствии с ISO 31000:2009 и COSO ERM приведен в таблице.

    ISO 31000

    COSO ERM

    применим к организациям любого размера вне зависимости от вида деятельности

    наиболее приспособлен для крупных финансовых организаций

    более понятно написан, термины явно определены

    не легко понять, не удовлетворяет принципам менеджмента риска

    более широкая применимость в качестве ссылки для менеджмента риска в существующих и будущих стандартах

    ограниченная применимость, главным образом в США в пределах финансового сектора

    легко применим (меньше чем 30 страниц), содержит практических рекомендаций по внедрению

    очень сложный (более чем 200 страниц), не содержит практических рекомендаций по внедрению

    при применении отсутствует требование по изменению существующей системы менеджмента

    при применении требует изменения системы менеджмента в соответствии с требованиями COSO

    обращается ко всем уровням организации к любому типу риска как с положительными, так и отрицательными последствиями

    сосредотачивается на отрицательном риске на корпоративном уровне, часто очень запутывает применение на операционном уровне

    непрерывное улучшение системы менеджмента риска, которые удовлетворяют признакам совершенства

    не приводит к подходам в менеджменте риска, которые удовлетворяют признакам совершенства

    Концепция менеджмента риска в Фонде Самрук Казына, разработана в конце 2007 на основе модели COSO ERM. Если считать, что Фонд это крупная финансовая организация, то для нее принятая модель безусловно применима и положительная оценка системы менеджмента риска, которую ей дала в конце 2009 года консалтинговая компания PriceWaterhouseCoopers LLP – автор модели COSO ERM справедлива.

    "Основной задачей Фонда в области риск менеджмента является не только управление рисками самого Фонда, но и активное повышение роли и эффективности риск менеджмента в группе компаний Фонда"5 Модель менеджмента риска, принятая в фонде тиражируется в дочерних компаниях как финансового, так и реального сектора экономики. Для большинства дочерних компаний реального сектора экономики модель COSO, как показано выше в таблице, очень трудно применима. Вместе с формальным подходом к внедрению менеджмента риска на основе модели COSO в дочерних компаниях реального сектора экономики это приводит к многочисленным несоответствиям, в частности:

    понятие риска, которое приводится в большинстве политик менеджмента риска дочерних компаний, рассматривается только с точки зрения негативных последствий6. Это находится в явном противоречии с утверждением, которые приведены в тех же документах, о том, что "целью процесса управления рисками является достижение баланса между максимальным использованием возможностей в целях получения выгоды и предотвращения потерь"7;

    при описании рисков компаний, которые утверждены высшим руководством, часто путаются такие важные понятия как "опасность", "событие", "последствие"8, что делает невозможным их дальнейшую адекватную обработку;
    название и содержание методических документов по управлению рисками, например, "правила управления валютным риском," "правила управления процентным риском," "правила управления риском потери ликвидности," разработанные и помещенные на сайте одной из дочерних копаний реального сектора экономики9 указывают на то, что акцент делается на управление финансовыми рисками, свойственными финансовой организации. Управлению операционными рисками, которые влияют на качество, безопасность здоровья и окружающей среды не уделяется никакого внимания.

    Анализ внедрений менеджмента риска в зарубежных компаниях и дочерних организациях Фонда реального сектора экономики показывает, что их дальнейшее успешное развитие наилучшим образом осуществимо в соответствии с ISO 31000:2009. Шаги, которые необходимо предпринять при этом, описаны выше.

    Заключение

    Успех менеджмента риска будет зависеть от эффективности системы управления, обеспечивающей основы и мероприятия, которые будут включены на всех уровнях организации. Система менеджмента риска, изложенная в ISO 31000, не предназначена, чтобы предписать систему управления, а скорее помочь организации интегрировать менеджмент риска в свою систему управления, поэтому, организации должны приспособить компоненты системы к их специфическим потребностям.

    На этом пути организациям может потребоваться помощь профессионалов в: планировании менеджмента риска; анализе зрелости существующей системы менеджмента риска на соответствие ISO 31000; разработке системы менеджмента риска организации; разработке политики менеджмента риска, стандартов и руководств; спецификации информационной системы, ее приобретении и развертывании; оценке риска; разработке и проведении сделанных на заказ тренингов по менеджменту риска; обучении специалистов по различным аспектам менеджмента риска.

    Автор: Филиппов Олег Рудольфович
    Risk Management Consultant
    Phone: +7 727 220 1681
    Mobile:+7 701 733 7763





  • размещено в разделе: Планирование и контроль
  • Автор: FilippovOR


  • найти еще статьи по теме:
      

    менеджмент качества ( процессы | школа качества | нормирование | управление качеством | хассп)
    книги: стандарты | качество | ХАССП | маркетинг | торговля
    управленческий консалтинг ( планирование и контроль | конфликтменеджмент)
    новости и события: пресс-релизы | новые стандарты | новости партнеров | новости | архив новостей, статей
    новая торговля (автоматизация | магазиностроение | маркетинг и экономика)
    интернет-маркетинг (создание сайта | интернет - бизнес)
    финансы & страхование (страхование | бизнес-школа)
    обзоры и интервью: маркетинг | консалтинг | торговля | управление качеством )
    энциклопедия: это интересно | глоссарий | о семье | менеджмент семьи | каталог ресурсов