Концепция управления рисками по стандарту COSO ERM
В соответствии со стандартом COSO ERM «управление рисками организации» - это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации». Процесс управления рисками предприятия направлен на определение событий, которые могут повлиять на организацию, и управление связанным с этими событиями риском, а также на контроль того, чтобы не был превышен риск - аппетит организации и предоставлялась разумная гарантия достижения целей организации. Таким образом, в соответствии с вышеуказанной целью функция управления рисками организации должна решать следующие задачи:
• определить уровень риск - аппетита компании в соответствии со стратегией развития;
• совершенствовать процесс принятия решений по реагированию на возникающие риски;
• сократить число непредвиденных событий и убытков в хозяйственной деятельности;
• определить и управлять всей совокупностью рисков хозяйственной деятельности;
• использовать благоприятные возможности;
• рационально использовать капитал предприятий.
Компоненты управления рисками предприятия образуют так называемый кубик COSO:
• Внутренняя среда;
• Постановка целей;
• Определение событий;
• Оценка рисков;
• Реагирование на риск;
• Средства контроля;
• Информация и коммуникации;
• Мониторинг.
Рис 3. Кубик COSO
Эффективность системы управления рисками предприятия формируется в результате оценки наличия и эффективного функционирования 8-ми компонентов управления рисками по каждой из категории целей предприятия (стратегические цели, операционные цели, достоверность отчетности и комплаенс цели).
Процесс управления предприятия рисками состоит из следующих этапов:
• определение риск аппетита и уровня толерантности предприятия к рискам;
• идентификация и классификация рисковых событий;
• анализ и оценка рисков по сравнению с уровнем толерантности предприятия;
• ранжирование рисков и определение существенных и критических рисков;
• установление ключевых индикаторов рисков для существенных и критических рисков;
• выбор стратегии и мер управления существенными и критическими рисками;
• анализ эффективности мер управления рисками по отношению к затратам (влияние внедрения, влияние не внедрения и связанные затраты);
• внедрение мер управления рисками и их мониторинг;
• мониторинг значений ключевых индикаторов рисков;
• отчетность руководству.
К основным инструментам системы управления корпоративными рисками относятся:
• ведение базы рисковых событий путем сбора фактов рисковых событий и потерь предприятия и её анализ;
• качественная оценка рисков посредством самооценки рисков и контроля за ними экспертами и разработка Регистра и Карты рисков на их основе;
• количественная статистическая оценка рисков на основе фактических событий базы рисковых событий;
• создание системы раннего предупреждения: установление предупреждающих пороговых значений ключевых индикаторов риска для высокорисковых операций;
• установление жесткой системы лимитов для высокорисковых операций;
• диверсификация и страхование;
• учет риск - премии под ожидаемые риски в тарифах на продукты и услуги;
• формирование резервного капитала под неожидаемые риски;
• разработка плана корректирующих мероприятий и их мониторинг;
• моделирование сценариев будущих рисков (стресс-тестирование).
Рис 4. Усложнение системы управления рисками предприятия