Риски, влияющие на организации, могут иметь последствия с точки зрения экономической эффективности, деловой репутации, окружающей среды, безопасности и социальные последствия. Таким образом, эффективное управление рисками позволяет организациям показывать хорошие результаты в условиях полной неопределенности.
ИСО 31000:2009
ИСО 31000:2009 «Менеджмент рисков. Принципы и руководящие указания» содержит принципы, структуру и процесс управления рисками. Может быть использован любой организацией независимо от ее размера, вида деятельности или отрасли. Использование ИСО 31000 может помочь организациям повысить вероятность достижения целей, улучшить выявление возможностей и угроз, эффективно распределить и использовать ресурсы для обработки рисков.
Однако, ИСО 31000 не может быть использован в целях сертификации, но служит руководством для внутренних или внешних программ аудита. Организации, использующие его могут сравнить их методы управления рисками с международно-признанным эталоном, предоставляя обоснованные принципы эффективного менеджмента и корпоративного управления.
Компании, получившие конкретные результаты от управления рисками, добиваются конкурентного преимущества.
Развитие стратегии управления рисками
Для эффективного управления рисками в первую очередь необходимо наличие у руководства организации понятной стратегии в данной области, а также в сфере корпоративного управления. Особое значение в этой связи приобретают надлежащий надзор за указанными областями и структура отчетности. Исполнительное руководство должно играть основную роль в вопросах оценки рисков и управления ими.
Развитая структура корпоративного управления, предоставление отчетов и информации об управлении рисками совету директоров обеспечивают рост значения системы управления рисками в рамках организации, совершенствование подотчетности и повышение прозрачности. Кроме того, эффективная отчетность в области управления рисками и надзор в конечном итоге приводят к улучшению процесса принятия решений.
Развитие стратегии управления рисками позволяет организациям с большей точностью прогнозировать возникновение риска. Вместе с этим несмотря на необходимость разработки стратегии управления рисками, позволяющей снижать их уровень до того, как событие произошло, не меньшее значение имеет выработка стратегии реагирования на риск в случае его возникновения
Встраивание системы управления рисками в бизнес-процессы
Любой бизнес связан с рисками. Организации, внедряющие систему управления рисками в процесс бизнес-планирования и оценки эффективности деятельности, как правило, быстрее достигают стратегических и операционных целей.
Несколько лет назад многие руководители уделяли основное внимание снижению уровня риска, контролю затрат, предотвращению неблагоприятных событий и защите бренда. В настоящее время все больше компаний сосредотачивают усилия на разработке стратегии управления рисками, способствующей росту эффективности бизнеса.
Впервые наблюдается установление отчетливых связей между бизнесом, развитием технологий и стратегией управления рисками, которые организации начинают рассматривать в комплексе.
Оптимизация функций управления рисками
По мере развития и роста организации часто происходит фрагментация и автономизация функций управления рисками, внутреннего контроля и соответствия законодательным требованиям, а также нарушение баланса указанных функций.
Это сказывается как на надзоре за корпоративным управлением, так и на бизнесе в целом. Правлению и совету директоров часто направляется противоречивая информация о рисках, вызывающая вопросы.
Организация может уменьшить нагрузку, связанную с управлением рисками (исключив дублирование функций и выполнение излишних мероприятий), сократить затраты, расширить покрытие рисков и повысить эффективность за счет следующих мер:
- Обеспечение соответствия целей и направлений сфокусированных действий
- Координация инфраструктуры и использования персонала
- Применение согласованных между собой методов и практических подходов
- Внедрение единых информационных технологий.
Улучшение контрольных процедур и процессов
Несмотря на то что организации понимают значение совершенствования контрольных процедур и процессов, нацеленных на выявление рисков, многие из них все еще работают над формированием оптимальной контрольной среды, в основе которой лежит баланс затрат и рисков.
Компания может повысить эффективность и сократить затраты на проведение контрольных процедур за счет их оптимизации и ориентации на основные бизнес-процессы, преимущественного использования автоматизированных, а не ручных контрольных процедур, непрерывного мониторинга их выполнения и достижения ключевых показателей эффективности.
Совершенствование системы управления рисками, информирование заинтересованных сторон об охвате рисков
Для перехода от стратегии неприятия риска к готовности принимать на себя риски организации могут потребоваться значительные изменения.
В компаниях должна быть введена должность директора по управлению рисками. Кроме того, руководителям следует подавать личный пример в этой области.
В основе управления рисками лежит изменение бизнес-культуры, т. е. системы координат, которыми пользуются руководители в процессе принятия решений. В рамках управления изменениями организациям следует вести открытый, регулярный диалог с заинтересованными сторонами. Для повышения их доверия компаниям необходимо предоставлять им отчеты независимых третьих сторон.
Организации должны оптимизировать применение технологий для получения максимальной пользы. Из этого, однако, не следует, что технологии определяют мероприятия по управлению рисками — скорее, они создают возможность для проведения изменений. Современные средства GRC способны облегчить управление всеми известными рисками.
Вместе с этим организациям следует стремиться к тому, чтобы все стратегические принципы развития ИТ, ориентированные на управление рисками, были согласованы со стратегией управления рисками и развития бизнеса.