какие типы мероприятий направленных на снижение риска рекомендует международный стандарт ferma
Особенности стандартов
ISO31000
Стандарт ISO31000 определяет следующие виды мероприятий по управлению рисками (в терминологии стандарта – обработки рисков):
Для негативных последствий обработка рисков (виды мероприятий по управлению риском) можно классифицировать как «уменьшение рисков», «устранение рисков», «избегание рисков» и «редукция рисков».
FERMA
Версия FERMA, действующая в 2014 году, выделяет 4 типа мероприятий: контроль риска, мероприятия по предупреждению риска, передачу риска и финансирование риска. Раньше в FERMA (версия года от 2004) в приложении были включены также определения из стандарта ISO/IEC Guide 73 с перечнем терминов. Сохранился перевод из того времени, может, кому-то окажется полезным:
Примечание. Контроль рисков может включать мониторинг, переоценку, и соблюдение принятых решений.
Примечание 1. В контексте безопасности, оптимизация рисков направлена на снижение риска.
Примечание 2. Оптимизация риска зависит от критериев риска, включая затраты и правовые требования.
Примечание 3. Могут рассматриваться риски, связанные с контролем рисков.
Примечание. Решение может быть принято на основе оценки риска.
Примечание 1. Правовые или нормативные требования могут ограничить, запретить или санкционировать передачу некоторых рисков.
Примечание 2. Передача риска может осуществляться посредством страховых и иных соглашений.
Примечание 3. Передача риска может привести к образованию новых или изменению существующих рисков.
Примечание 4. Перемещение источника риска не является передачей риска.
Примечание. В некоторых отраслях термин «финансирование риска» относится только к выделению средств на покрытие финансовых последствий риска.
Примечание 1. Удержание риска также относится к рискам, которые еще не были идентифицированы.
Примечание 2. Удержание риска не включает в себя мероприятия по управлению рисками, такие как страхование или иные виды переноса риска.
Примечание 3. Степень принятия и зависимости от критериев риска может варьироваться.
Примечание 1. Глагол «принять» используется в этом случае в своем основном словарном значении.
Примечание 2. Принятие риска находится в зависимости от критериев риска.
COSO ERM
COSO ERM, обобщая лучшие практики, использует следующую классификацию: избегание риска, снижение риска, передача риска, принятие риска.
Мне больше всего нравится последнее обобщение, единственное – я разделяю снижение риска и смягчение последствий.
По поводу финансирования рисков – есть разные подходы (кто-то считает, что это только страхование, кто-то – что это всё, кроме страхования). Я буду использовать в широком смысле (может быть всё).
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Как управлять рисками с помощью стандартов FERMA, COSO ERM, ISO 31000
Для управления рисками на предприятии есть различные стандарты. Наибольшее распространение получили FERMA, COSO ERM и ISO 31000.
Международные модели управления рисками FERMA и COSO ERM
FERMA (Federation of European Risk Management Association) — Европейская Федерация Ассоциаций риск-менеджмента. В 2002 году был опубликовали «Стандарт по управлению рисками» (Risk Managment Standart).
Данный стандарт определяет четкую последовательность действий по внедрению системы риск-менеджмента и содержит практические рекомендации. На предприятии FERMA внедряют для увеличения стабильности работы. Методология стандарта основана на четырёх рисках: стратегических, финансовых, производственных и рисков безопасности.
В стандарте прописаны основные теоретические и практические указания: определение риска, риск-менеджмента, процедуры оценки рисков, методы и технологии оценки рисков, мероприятия по управлению рисками, а также обязанности риск-менеджера.
Схему системы риск-менеджмента FERMA можно внедрить на любом предприятии, что является хорошим преимуществом.
COSO ERM (Enterprise Risk Management — Integrated Framework Committee of Sponsoring Organizations of the Treadway Commission) — принципы риск-менеджмента, разработанные Комитетом спонсорских организаций Комиссии Тредвея совместно с компанией PricewaterhouseCoopers.
Стандарте COSO-ERM учитывает восемь областей управления рисками компании: организационная структура, цели компании, идентификация рисковых ситуаций, оценка вероятности наступления рискового события, совокупность стратегий реагирования на риск, контроль над действиями сотрудников, информационный обмен, элиминирование рисков.
В зависимости от разработанности этих областей в компании, необходимо выбрать наиболее существенные. Важно правильно внедрить систему риск-менеджмента, так, чтобы она охватывала все структурные подразделения компании, а методы нейтрализации угроз, вызванных возможностью реализации того или иного риска, были эффективны.
Особенности стандартов COSO ERM и FERMA приведены в таблице 1.
Таблица 1. Особенности стандартов COSO ERM и FERMA.
Какие задачи позволяет решать
Разработан для постановки системы управления рисками любого предприятия
Содержит четко определенную последовательность действий по постановке системы управления рисками и конкретные рекомендации, что позволяет использовать стандарт при постановке системы управления рисками неподготовленному пользователю.
Развитие предыдущего стандарта COSO (Internal Control — Integrated Framework), который был ориентирован на повышение достоверности отчетности предприятий. Данные стандарты были разработаны аудиторами для аудиторов.
Отсутствует пошаговая инструкция по внедрению системы риск-менеджмента, что вызывает необходимость в привлечении внешних экспертов.
Выбор стандарта для постановки системы управления рисками нужно проводить исходя из перечисленных особенностей. Если акции компании котируются на нью-йоркской фондовой бирже, то обязательно к применению COSO ERM. Если организации достаточно построить систему управления рисками для внутреннего пользования, целесообразно использовать FERMA.
Ключевые принципы ISO 31000
ISO 31000 можно назвать универсальным стандартом. Он помогает предприятиям, нацеленным на победу в тендерах, работу с крупными контрагентами и госструктурами, в том числе с доступом к гостайне, формирует имидж надёжного партнёра и повышает инвестиционную привлекательность.
Стандарт ИСО 31000 определяет требования для следующих аспектов риск-менеджмента:
Национальный стандарт Российской Федерации. ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство» (утверждён приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. № 883-ст) касается компаний и организаций, независимо от сферы их деятельности. Он регламентирует принципы подхода к управлению рисками и используется на протяжении всего жизненного цикла организации.
Стандарт определяет, что риск-менеджмент должен быть неотъемлемой частью деятельности компании. Без учёта вероятных рисков её работа будет малоэффективной. Для риск-менеджмента устанавливается ряд принципов. Он должен быть структурированным, комплексным и всеобъемлющим.
Управление рисками осуществляется:
Каждая компания может адаптировать рекомендации с учётом своей специфики. ГОСТ Р ИСО 31000-2010 можно применить к любому типу риска, независимо от его характера, а также того, имеет он отрицательные или положительные последствия.
На разных этапах существования компании риски могут возникать и исчезать, становиться более или менее весомыми. Работающая система управления способна предвосхитить, обнаружить, признать и отреагировать на произошедшие изменения. На всех этапах принятия решений обязательны постоянный мониторинг и периодическая проверка.
Узнайте больше об управлении экономическими рисками на предприятии на курсе «Обеспечение экономической безопасности предприятия».
Также вы можете выбрать другие программы обучения экономической безопасности в Учебном центре «ФИНКОНТ».
Управление финансовыми рисками
Определение финансового риска
Еврейская мудрость гласит, что если проблему можно решить деньгами, то это не проблема, а расходы.
Риск — некоторое негативное событие в будущем, которое может наступить с определенной вероятностью.
Понятие риска тесно связано с самой деятельностью по созданию стоимости в компании. Можно смело утверждать, что каждый бизнес и каждый бизнес мен для самостоятельно принимает для себя решение о допустимом уровне риска. Отсюда происходит одно из ключевых понятий — «риск-аппетит», т. е. «степень риска, который организация в целом считает для себя допустимым в процессе создания стоимости». Сервис Финоко автоматически регистрирует всех клиентов и поставщиков, с которыми были расчеты, в списке контрагентов и проверяет их используя сервис проверки контрагентов по ИНН.
Процесс управления рисками решает задачу минимизации ущерба, наносимого компании наступлением негативных событий. Также важнейшей задачей по управлению рисками является максимизация дополнительной прибыли, обеспечивающейся за счет усиления «положительных» рисков.
Стандарты управления рисками
Можно выделить как минимум три стандарта управления рисками. Первая модель наиболее проста в использовании, т. к. кроме перечисления самих типов рисков она предлагает конкретное указание рисковых факторов, которые следует проанализировать в первую очередь. Эта классификация предлагается в рамках стандарта FERMA.
COSO стандарт, разработанный комитетом спонсорских организаций Комиссии Тредвея (США, Канада, PricewaterhauseCoopers) — The Committee of Sponsoring Organizations of the Treadway Commission, первая редакция которого появилась в 1992 году. Стандарт COSO предлагает общую модель управления рисками, охватывающую всю организацию, и основные принципы ее реализации с конкретизированными примерами применения данной модели.
ISO — действующий в РФ стандарт (введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 декабря 2010 г. № 883-ст) «ГОСТ Р ИСО 31000-2010 — Менеджмент риска. Принципы и руководство». Данный стандарт является переводом международного стандарта ИСО 31000:2009 «Менеджмент риска. Принципы и руководство» (ISO 31000:2009 «Risk management — Principles and guidelines»). Стандарт применяется совместно с «ГОСТ Р ИСО 31010 – 2011 — Менеджмент риска. Методы оценки риска» с опорой на терминологию, предписываемую стандартом «ГОСТ Р 51897- 2011/Руководство ИСО 73:2009 — Менеджмент риска. Термины и определения».
Стандарт ISO является универсальным и может применяться для компаний любой сферы деятельности, вне зависимости от отрасли, специфики компании и принципов ее управления.
Основным механизмом, обеспечивающим принятие решения, является отчетность. В стандарт ISO шаблонов отчетов нет. Стандарт ИСО оставляет это на откуп самой компании, реализующей процесс управления рисками.
Стандарт FERMA содержит подробные рекомендации по содержанию отчетов, однако не дает никаких конкретных рекомендаций по построению карт рисков, указывая тем не менее на необходимость их построения.
COSO не определяет состав отчетности – оставляет это на откуп рекомендуемым инструментам автоматизации, однако подробно рассматривает построение карт рисков.
Применение такого шаблона уже само по себе ценно для бизнеса, поскольку позволяет отслеживать не только подстерегающие опасности, но и анализировать упускаемые возможности. Кроме того, карты рисков помогают в принятии эффективных решений, когда ограниченные финансовые ресурсы используются максимально выгодно.
Как создать систему управления рисками
Построение системы управления рисками начинается с оценивания внешней и внутренней среды компании. Результатом этого процесса должно быть осознания факторов различной природы (политических, экономических, экологических и т. п.), определяющих условия хозяйствования на региональном или международном уровне.
Необходимо выделить основные факторы, наиболее существенно воздействующие на цели предприятия. Понимание окружающей макросреды необходимо дополнить анализом конкурентных сил, в том числе взаимосвязей с ключевыми контрагентами из числа поставщиков и потребителей продукции.
Во внутренней среде диагностике подлежит состояние: в области организационной структуры, полномочий и обязанностей; внутреннего материального и интеллектуального потенциала; формализованных бизнес- и функциональных стратегий; корпоративной культуры.
Определяется политика управления рисками, в которой закрепляются:
Политика управления рисками
Содержание политики в области управления рисками согласно ISO должно содержать следующую информацию:
Инструменты диагностики рисков
Прежде чем приступать к оценке рисков, их необходимо выявить — «Определить события». Выявление рисков осуществляют менеджеры компании, основываясь на том, какие события могут повлиять на способность компании достичь поставленных целей и реализовать стратегию. При этом события, обещающие отрицательное воздействие на достижение цели, расцениваются как факторы риска и требуют реагирования, а те, которые могут оказать положительное воздействие, должны учитываться при корректировке стратегии и постановке самих целей деятельности.
Для идентификации рисков (согласно COSO) необходимо анализировать группы внешних и внутренних факторов.
Внешние факторы риска:
Внутренние факторы риска:
Источниками для получения информации, обеспечивающей идентификацию рисков, могут быть:
Методы оценки возможного ущерба и вероятности наступления риска
После идентификации рисков необходимо осуществить качественный, а затем количественный анализ рисков.
Качественный анализ – это исследование особенностей рисков, а также выявление тех последствий, которые способны принести компании наступившие негативные события.
При количественном подходе оценки могут быть основаны либо на статистической информации (оценка осуществляется на основе статистических моделей), либо на экспертных оценках (эксперты дают количественную оценку вероятности и потенциального ущерба, основываясь на обрывочных статистических данных, в случаях, когда детальный расчет невозможен или нецелесообразен).
Какие типы мероприятий направленных на снижение риска рекомендует международный стандарт ferma
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Технологии оценки риска
Risk management. Risk assessment technologies
Дата введения 2020-03-01
Предисловие
1 РАЗРАБОТАН некоммерческим партнерством «Русское Общество Управления Рисками» (НП «РусРиск»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 010 «Менеджмент риска»
6 Некоторые элементы настоящего стандарта могут являться объектами патентных прав
Введение
В настоящем стандарте содержатся рекомендации по выбору и применению различных технологий, которые могут быть использованы для совершенствования понимания неопределенности и риска.
Технологии оценки риска используются в тех случаях, когда:
— требуется понимание того, какие риски существуют, или углубленное понимание конкретного риска;
— при необходимости выбора, сравнения и оптимизации альтернативных решений с учетом риска;
— в рамках процесса управления рисками, для выбора оптимальных методов обработки риска.
Технологии используются на этапах оценки риска для идентификации, анализа и сравнительной оценки риска, описанных в ИСО 31000, и в целом, когда есть необходимость понять неопределенность и ее последствия.
Технологии, описанные в настоящем стандарте, могут использоваться для решения широкого класса задач, однако большинство из них возникло в технической области. Некоторые технологии схожи по своей концепции, но имеют разные названия и методологию, которые отражают историю их развития в разных секторах. Технологии эволюционировали со временем и продолжают развиваться, многие могут использоваться в широком диапазоне ситуаций помимо их первоначального применения. Технологии могут быть адаптированы, объединены и применены по-новому или расширены для удовлетворения текущих и будущих потребностей.
Международный стандарт МЭК 31010 был выбран в качестве основы для разработки настоящего стандарта, поскольку он представляет собой введение в описываемые в настоящем стандарте технологии и сравнивает их возможные приложения, преимущества и ограничения. В МЭК 31010 указано, что приведенный перечень технологий оценки рисков не является исчерпывающим и может быть расширен.
Технологии оценки риска, описанные в настоящем стандарте, дополнены с учетом российской практики управления рисками организаций.
Потенциальная аудитория этого стандарта:
— лица, участвующие в оценке риска;
— стороны, которые участвуют в разработке руководств, описывающих способы оценки риска в конкретных средах;
— лица, которые должны принимать решения в условиях неопределенности, включая:
1) тех, кто заказывает или оценивает оценку рисков;
2) тех, кто должен понимать результаты оценок;
3) тех, кто должен выбирать технологии оценки для удовлетворения конкретных потребностей.
Организации, которые обязаны проводить оценку рисков в целях соблюдения или соответствия, выиграют от использования соответствующих формальных и стандартизированных технологий оценки риска.
1 Область применения
Настоящий стандарт является руководством по выбору и применению технологий оценки риска в широком спектре задач. Технологии используются для оказания помощи и содействия в принятии решений в случаях неопределенности, предоставления информации о конкретных рисках и в рамках процесса управления рисками.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р ИСО 31000, ГОСТ Р 51897-2011/Руководство ИСО 73:2009, а также следующие термины с соответствующими определениями:
3.1 возможность (opportunity): Сочетание обстоятельств, благоприятных для достижения цели.
1 Возможность является потенциальной выгодой или другим желаемым результатом.
2 Возможность одной стороны может представлять угрозу для другой.
3.2 фактор риска (risk driver): Фактор, который оказывает существенное влияние на риск.
3.3 угроза (threat): Потенциальный источник опасности, вреда и т.д.
4 Основные понятия
4.1 Неопределенность
Один из подходов к типизации, который может быть полезен, предполагает два основных типа неопределенности:
— неопределенность, которая признает внутреннюю изменчивость некоторых явлений и которая не может быть уменьшена путем дальнейших исследований; например бросание кости (иногда ее называют алеаторной неопределенностью, или неопределенностью случайного события);
— неопределенность, которая обычно возникает из-за отсутствия знаний и поэтому может быть уменьшена путем сбора большего количества данных, уточнения моделей, совершенствования методов выборки и т.д. (иногда ее называют эпистемической неопределенностью, или неопределенностью, зависящей от уровня знания).
Во многих ситуациях встречаются оба типа неопределенности.
Другие общепризнанные типы неопределенности включают:
— лингвистическую неопределенность, которая признает нечеткость и двусмысленность, присущие разговорным языкам;
— неопределенность в решении, которая имеет особое отношение к стратегиям менеджмента риска и которая показывает неопределенность, связанную с системами ценностей, профессиональным суждением, ценностями компаний и социальными нормами.
Таким образом, неопределенность в более широком смысле может охватывать:
— неопределенность относительно достоверности допущений, включая предположения о том, как люди или системы могут себя вести;
— изменчивость параметров, на которых должно основываться решение;
— неопределенность в отношении применимости или точности моделей, которые были созданы для прогнозирования будущего;
— события (включая изменения обстоятельств), появление или характер которых являются неопределенными;
— неопределенность, связанную с разрушительными или прорывными событиями;
— неопределенность в отношении результатов системных вопросов, таких как нехватка компетентного персонала, что может иметь широкомасштабное воздействие, которое не может быть четко определено;
— отсутствие знаний о чем-либо;
— отсутствие знания, которое возникает, когда неопределенность признается, но не полностью понята;
— неспособность человеческого разума распознавать сложные данные, ситуации с долгосрочными последствиями, судить без предвзятости.
Не вся неопределенность может быть понята, и ее значение может быть трудно или невозможно определить. Однако признание того факта, что неопределенность существует в конкретной области, позволяет внедрять системы раннего предупреждения для выявления изменений и механизмы, которые необходимо использовать для повышения устойчивости к непредвиденным обстоятельствам.
4.2 Характеристики риска
В общем случае риск включает в себя последствия любой из форм неопределенности, описанных в 4.1.
Технологии оценки риска направлены на то, чтобы помочь людям понять неопределенность и связанный с ней риск в более широкой, более сложной и разнообразной области применения с целью обеспечения более обоснованных решений и действий.
5 Использование и преимущества технологий оценки риска
5.1 Использование технологий оценки риска
ГОСТ Р ИСО 31000 описывает принципы управления рисками, основы и организационные механизмы, которые позволяют управлять рисками. В нем определен процесс, в рамках которого существует возможность распознавать, понимать и изменять риск в соответствии с критериями, которые устанавливаются в рамках этого же процесса. Технологии оценки риска могут применяться в рамках данного структурированного подхода для определения области применения, среды и критериев, оценки риска, обработки риска, мониторинга и пересмотра, документирования и отчетности, обмена информацией и консультирования. Этот процесс проиллюстрирован на рисунке 1, где также приведены примеры того, где, в рамках процесса, данные техники могут быть применены. В ГОСТ Р ИСО 31000 оценка рисков включает в себя идентификацию рисков, их анализ и использование информации, полученной в результате анализа, для сравнительной оценки риска и формирования выводов относительно их значимости по отношению к целям и показателям эффективности деятельности организации. Этот процесс вносит вклад в принятие решений о том, требуется ли обработка риска, каковы приоритеты обработки и какие мероприятия, направленные на снижение риска, необходимо предпринять. На практике данный подход носит итеративный характер.
Технологии оценки риска, описанные в этом документе, применяются в следующих случаях:
— когда необходимо принять решение с учетом неопределенности;
— в рамках решения, в котором необходимо сравнить/оптимизировать ряд вариантов;
— когда требуется большее понимание существующих рисков или конкретного риска;
— как часть любого процесса принятия решений об обработке риска.
Технология оценки риска зависит от сложности ситуации, ее новизны, от уровня имеющихся и применимых знаний и понимания:
1) в простейшем случае, когда в ситуации нет ничего нового или необычного, риск хорошо понимается, без каких-либо существенных последствий или с незначительными последствиями для причастных сторон; действия, скорее всего, будут выполняться в соответствии с установленными правилами и процедурами и предыдущими оценками риска;
Управление рисками: модель процесса и компетенций
Дмитрий Могилко
Асессор по модели EFQM
Партнёр ГК «Современные технологии управления» ()
Каковы критерии оценки рисков, функции риск-менеджмента и компетенции по управлению рисками, требования и рекомендации стандартов по управлению рисками? Какие возможности для унифицикации сведений о параметрах риска есть в системе Business Studio? На эти вопросы отвечает автор. Также в статье представлен обзор функций и необходимых компетенций для управления рисками, модель процесса управления рисками и структура паспорта риска.
Глобализация конкуренции, сокращение цикла производства продукции, повышение требований к гибкости производства для удовлетворения персональных предпочтений потребителей и выпуск продукции под заказ — все эти тенденции обусловливают повышение неопределенности организационной среды и необходимость формирования риск-ориентированного мышления, что отражено в ГОСТ Р ИСО 9001–2015 «Системы менеджмента качества. Требования» [1]. При этом отмечается, что повышение результативности системы менеджмента качества (СМК) предполагает необходимость выполнения предупреждающих действий на основе планирования, анализа и улучшения деятельности, связанной с рисками и возможностями.
Риск-менеджмент становится частью процесса принятия управленческих решений в условиях неопределенности [2], поэтому для повышения результативности и эффективности таких решений необходимо углублять знания и совершенствовать деловые качества в области управления рисками. Для обобщения сведений о принципах и подходах управления рисками, представленных в большом количестве стандартов, автор предлагает использовать модель в виде семантической сети, которая отражает структуру основных понятий этой предметной области (рис. 1).
Рис. 1. Структура основных понятий риск-менеджмента
Представленная модель построена на основе следующей логики.
В качестве средства визуализации результатов идентификации опасных событий может быть использована диаграмма «галстук-бабочка» (рис. 2) [8], включающая:
Рис. 2. Диаграмма «галстук-бабочка»
Опасные события, их источники и возможные последствия вносятся в реестр риска организации, являющийся формой записи сведений об идентифицированном риске [7]. Реестр риска может быть разработан в полном [6] или сокращенном [7] (табл. 1) варианте в зависимости от размера и сферы деятельности организации.
Для качественной (балльной) оценки уровня риска могут быть использованы следующие шкалы [7]:
Примечание: объекты воздействия опасного события приведены для примера.
| Оценка вероятности, % | Качественная оценка вероятности, баллы |
|---|---|
| Очень высокая — 81–100 | Очень высокая — 5 |
| Высокая — 61–80 | Высокая — 4 |
| Средняя — 21–60 | Средняя — 3 |
| Низкая — 1–20 | Низкая — 2 |
| Очень низкая — менее 1 | Очень низкая — 1 |
Результирующая оценка значимости риска может быть представлена с помощью матрицы риска (табл. 4), при этом его уровень рассчитывается как произведение последствий (I) на вероятность (L).
| Качественная оценка вероятности опасного события | Последствия | ||||
|---|---|---|---|---|---|
| Малозначительные (1) | Небольшие (2) | Умеренные (3) | Значительные (4) | Катастрофические (5) | |
| Очень низкая (1) | 1 | 2 | 3 | 4 | 5 |
| Низкая (2) | 2 | 4 | 6 | 8 | 10 |
| Средняя (3) | 3 | 6 | 9 | 12 | 15 |
| Высокая (4) | 4 | 8 | 12 | 16 | 20 |
| Очень высокая (5) | 5 | 10 | 15 | 20 | 25 |
Следующий этап управления риском — оценивание, т. е. ответ на вопрос, являются ли риск и/или его величина приемлемыми или допустимыми (на основе сравнения результатов анализа риска с установленными критериями). Сравнительная оценка риска включает:
По результатам анализа определяется уровень риска в следующих интервалах:
После оценки риска наступает этап его обработки / модификации посредством:
Обработка риска включает следующие этапы:
Завершающим этапом процесса менеджмента риска является мониторинг ключевых индикаторов риска. Ключевые индикаторы риска должны:
Менеджмент риска поддерживается инфраструктурой, обеспечивающей основу и организационные меры для его разработки, внедрения, мониторинга, пересмотра и постоянного улучшения. При разработке инфраструктуры менеджмента риска устанавливаются ответственность, полномочия и соответствующие компетенции.
Основная роль в процессе управления риском принадлежит менеджеру по риску, который должен принимать активное участие на этапах идентификации, оценки и обработки риска, а также:
Компетенции менеджеров по риску основываются на знаниях, навыках и деловых качествах, приобретенных во время учебы и в процессе работы. Основные требования к знаниям и умениям менеджеров по риску относительно использования реестра риска включают:
Основные требования к навыкам менеджеров по риску включают способности:
Оценка риска осуществляется группой, включающей следующие роли:
Текстовое формализованное описание процесса менеджмента риска приведено в ГОСТ Р ИСО/МЭК 12207–2010 [10] и включает следующие параметры:
В качестве графического описания процесса менеджмента риска автор предлагает IDEF0-модель (рис. 3).
Рис. 3. IDEF0-модель процесса менеджмента риска
Для развития компетенций участников менеджмента риска автор представляет параметрическую модель в форме паспорта риска (табл. 5), содержащую требования и рекомендации стандартов в области управления рисками.
Табл. 5 включает набор основных параметров риска, однако для конкретных случаев этот перечень может быть модифицирован исходя из потребностей заинтересованных сторон, среды организации и уровня компетентности участников.