Цикл управления рисками: объяснение процесса и структуры

ИСО 31000 ввел некоторые важные и более уместные термины в стандарт управления рисками и, следовательно, помогает лучше организовать и внедрить процесс управления рисками в организации для получения выгод и одновременного контроля затрат и общей оптимизации ресурсов.

Управление рисками — общие термины и определения

• Владелец риска определяется как «лицо или организация, обладающие ответственностью и полномочиями для управления рисками». Это определение поможет менеджеру по рискам убедить руководство в том, что ответственность за риски должна принадлежать руководству, а не менеджеру по рискам.
  
• Аппетит к риску Это область, с которой сталкиваются многие организации, и хотя готовность к риску не определена в ISO 31000 (она есть в ISO Guide 73:2009), стандарт определяет отношение к риску как «подход организации к оценке и, в конечном итоге, к достижению, сохранению, принятию или отказу от риска».
  
• Политика управления рисками также определяется как «заявление об общих намерениях и направлении организации, связанных с управлением рисками».
  
• План управления рисками следует указать «подход, компоненты управления и ресурсы, которые следует применять для управления рисками». ISO выпустила ISO Risk management Guide 73:2009 – Vocabulary, чтобы предоставить дополнительные указания относительно общих терминов и определений, касающихся управления рисками, для поддержки согласованности. Он содержит некоторые определения, которые теперь удалены из ISO 31000.

Структура управления рисками

Взаимосвязи между различными компонентами управления рисками, включая структуру управления рисками, лучше обозначены и проиллюстрированы в ISO 31000, как показано на рисунке ниже.

Мандат и обязательства

Управление рисками не является деятельностью вне проекта; это постоянная деятельность, требующая постоянной приверженности. Оно должно быть санкционировано Советом директоров (или эквивалентом), внедрено высшим руководством и поддержано всеми уровнями управления и владельцами рисков, чтобы быть устойчивым.

Разработка структуры управления рисками

Как и все хорошие проекты, процессы и стратегии, процессы управления рисками должны быть хорошо спроектированы для поддержки эффективной реализации. Определение контекста структуры управления рисками, формулирование Политика управления рискамивнедрение процессов в практику, распределение ресурсов и определение ответственности являются ключевыми элементами разработки эффективной структуры для управления рисками. Хорошо разработанная периодическая отчетность для заинтересованных сторон и эффективные механизмы коммуникации будут поддерживать эффективное внедрение.

Внедрение управления рисками

После того, как структура разработана, реализация заключается в применении теории на практике и воплощении структуры управления рисками в жизнь. В частности, это касается обеспечения понимания процесса управления рисками владельцами рисков (через отличную коммуникацию и обучение), а также осуществления мероприятий по управлению рисками (через оценки рисков, семинары по рискам, внутренний контроль и т. д.), а также принятия решений и бизнес-процессов в мышлении о рисках.

Мониторинг и обзор

Подразумевает подтверждение того, что различные элементы и действия по управлению рисками работают эффективно в соответствии с ожиданиями. Любые выявленные пробелы должны быть задокументированы и устранены.

Постоянное совершенствование

Речь идет о продолжении «настройки» и улучшения ключевых элементов структуры управления рисками для улучшения текущих процессов и/или продвижения к более зрелой структуре управления рисками. Высоко преданная организация будет улучшать как свои процессы, так и зрелость с течением времени.

Принципы, структура и процессы интегрированного управления рисками

Процесс управления рисками – пояснения

ISO 31000 признает важность обратной связи посредством двух механизмов. Это мониторинг и обзор производительности, а также коммуникация и консультации. Мониторинг и обзор гарантируют, что организация отслеживает производительность рисков и учится на опыте. Коммуникация и консультации представлены в ISO 31000 как часть процесса управления рисками, но их также можно считать частью поддерживающей структуры. Отчетность и раскрытие информации упоминаются в ISO 31000 лишь очень кратко, и они не включены в процесс, показанный на схеме ниже. Кроме того, действия по мониторингу и обзору обратной связи, изложенные в ISO 31000, явно не упоминают задачи мониторинга производительности рисков и обзора структуры управления рисками.

После рассмотрения многочисленных вариантов и вариантов ISO 31000:2009 в значительной степени принял тот же широкий процесс, что и AS/NZS 4360:2004 для управления рисками, как показано на приведенной выше диаграмме. Хотя процесс по сути шагает так, на практике существует значительная итерация между шагами и между постоянно применяемыми элементами коммуникации и консультаций, мониторинга и обзора. Нарисовать картину этого сложно, и по этой причине диаграмма, используемая в стандарте, намеренно не была показана как блок-схема. Ее цель — показать связь между пунктами стандарта, описывающими процесс. Стандарт дает набор общих вариантов, которые следует учитывать при обработке риска.

Порядок списка отражает предпочтения. Важно, что варианты имеют дело как с рисками, имеющими отрицательные, так и с положительными последствиями. Общие варианты таковы:

1. Избегание риска путем принятия решения не начинать и не продолжать деятельность, которая приводит к риску
2. Принятие или увеличение риска для реализации возможности
3. Устранение источника риска
4. Изменение вероятности
5. Изменение последствий
6. Разделение риска с другой стороной или сторонами (включая контракты и финансирование риска)
7. Сохранение риска посредством осознанного решения.

Источник – стандарт ИСО 31000

PMP® и PMI® являются зарегистрированными товарными знаками Project Management Institute, Inc.