Международные стандарты управления рисками предприятия
Концептуальные основы управления рисками для публичных компаний изложены в документе «Управление рисками организаций. Интегрированная модель», разработанном Комитетом организаций - спонсоров Комиссии Трэдвея с помощью компании Pricewaterhouse Coopers. Комитет организаций - спонсоров Комиссии Трэдвея - это добровольная частная организация Соединенных Штатов и противодействия мошенничеству.
В настоящее время стандарты COSO ERM являются основополагающими стандартами по управлению корпоративными рисками предприятий любого профиля и определяют основные рамки, принципы, структуру, компоненты и этапы процесса управления рисками предприятия. Вместе с тем, разработаны и используются отраслевые и страновые стандарты управления рисками, учитывающие регуляторные требования отдельных стран, а также специфику и природу рисков, присущих различным отраслям экономики. Так, рекомендации Базельского комитета по банковскому надзору регулируют управление рисками банковских организаций Европейского союза, Закон Сарбейнса - Оксли (США) устанавливает требования по управлению рисками публичных компаний, размещающих ценные бумаги на Нью-Йоркской фондовой бирже. Отраслевым международным стандартом по управлению рисками компаний электросвязи является стандарт ITU-TX.1055 “Руководство по риск менеджменту и профиль рисков для телекоммуникационных компаний”. Ниже приведен сравнительный анализ наиболее широко используемых стандартов по управлению рисками предприятий.
|
|
Risk IT |
COSO ERM |
ISO / FDIS 31000:2009 |
AS/NZS 4360:2004 AS/NZS ISO 31000:2009 |
ARMS, 2002 |
ISO 20000:2005 |
PMBOK |
ISO/IEC 270005:2008, ISO/IEC 270001:2005, ISO/IEC 270002:2005 | ||||
|
Принципы ИТ рисков | ||||||||||||
|
Всегда соотносится с бизнес целями |
2 |
2 |
2 |
2 |
2 |
1 |
2 |
2 | ||||
|
Выверять управление ИТ рисками с общим ERM |
2 |
1 |
1 |
1 |
1 |
1 | ||||||
|
Баланс затрат с выгод в управлении рисками |
2 |
2 |
2 |
2 |
2 |
1 | ||||||
|
Способствовать честной и открытой по коммуникации ИТ рискам |
2 |
2 |
2 |
2 |
2 |
1 | ||||||
|
Утверждение правильного акцента со стороны высшего управления во время определения и усиления персональной ответственности за операции в рамках принимаемого и хорошо определенного уровня толерантности |
2 |
2 |
2 |
2 |
2 |
1 |
2 | |||||
|
Установлен непрерывный процесс и является частью ежедневной деятельности |
2 |
2 |
2 |
2 |
2 |
2 |
2 |
2 | ||||
|
Дополнительные характеристики | ||||||||||||
|
Доступность (для основного персонала) |
2 |
1 |
1 |
1 |
2 |
1 |
1 |
1 | ||||
|
Комплексный взгляд на ИТ риски |
2 |
1 | ||||||||||
|
Специальный фокус на практике риск менеджмента для специфичных ИТ областей (управление проектами, сервисное обслуживание, безопасность и т.п.) |
1 |
2 |
2 |
2 | ||||||||
|
Обеспечивает детальную процессную модель с руководством по управлению и моделью зрелости |
2 |
1 |
1 |
1 |
1 |
1 |
1 |
1 | ||||
полное покрытие 
частично покрытие 
нет покрытия Принципы/Характеристики