Формирование системы управления рисками по ГОСТ Р 58771-2019, ГОСТ Р 51897-2021 и ГОСТ Р ИСО 31000-2019

Система управления рисками: стандарты и задачи

Управление рисками является частью целостного управления организацией, влияющее на функционирование всех процессов, учитывая как внешние, так и внутренние факторы и угрозы.

В целях оптимизации и эффективности системы управления рисками (СУР) разработаны отечественные стандарты, основанные на международных практиках: ГОСТ Р ИСО 31000-2019, ГОСТ Р 51901.7-2017,  ГОСТ Р 58771-2019  ГОСТ Р 51897-2021 и другие специализированные в зависимости от видов деятельности и отраслей.

Национальные стандарты содержат в себе ряд принципов для построения качественного менеджмента риска в организации.

Например, это принцип структурированности и комплексности или вовлеченности и динамичности.

Функционирование СУР пропорционально зависит от степени ее включения в общую конструкцию управления организацией.

Особенно важна интеграция СУР в общую систему управления на предприятии и основывается на стратегических целях и задачах.

Основной задачей управления рисками является преждевременное выявление угроз, их анализ (включающий в себя определение потенциальных последствий и вероятности наступления событий) и реагирование на них соответствующим образом с целью минимального негативного воздействия на бизнес-процессы.

Элементы и этапы СУР

Подход к СУР основан на цикле Деминга, состоящий из последовательных 4 этапов:

1. Планирование
2. Реализация
3. Контроль
4. Совершенствование

Планирование в риск-менеджменте является базой для функционирования всей системы.

СУР ориентируясь на стратегию развития предприятия, и тем более не противоречить ей.

Например, если в процессе оценки рисков определено, что из-за высокого уровня риска от процесса или проекта стоит отказаться, но при этом это является ключевым направлением, генерирующим основной доход, то предприятие принимает определенные риски, следовательно готовит управленческие решения для минимизаций последствий.

Планирование включает в себя:

• Цели и задачи управления рисками
• Стратегии по управлению рисками
• Внутренняя документации, включая применение технологий оценки рисков
• Подходы и процедуры по управлению рисками
• Построение организационной структуры (а также процесса взаимодействия)
• Выделение ответственных подразделений

Реализация риск-менеджмента заключается в идентификации рисков, их количественной и качественной оценке и анализе рисков, непосредственное управление риском и регулярном мониторинге как рисков, так и СУР в целом.

Идентификация риска — это определение всех возможных рисков, которые могут повлиять на деятельность и процессы организации на пути к достижению плановых задач.

Этот процесс может проводиться большим количеством способов, например, используя SWOT-анализ или методом экспертных оценок.

Как происходит анализ и оценка рисков

Существует две основных групп методов к оценке и анализу рисков:

1. Количественный
2. Качественный

Количественный и качественный анализ необходим для определения вероятности реализации риска и размера потерь, что позволит определить важность того или иного риска на организацию.

Количественная оценка — это численное определение уровня и параметров риска с помощью математических методов на основе накопленной статистической информации.

Качественная оценка рисков применяется как в случаях невозможности проведения расчетов (из-за сложности или недостаточностью статистической информации), так и в дополнение к количественной оценке с учетом тех факторов, которые невозможно рассчитать.

Существует набор методов проведения качественной оценки, но наибольшей популярностью пользуются методы использования аналогичных ситуаций и экспертных оценок, который может осуществляться как собственными сотрудниками организации, так и с привлечением внешних экспертов.

Реагирование на риски основывается на том, что ответственные лица каждого из имеющихся подразделений или процессов определяют:

• Как можно снизить количество идентифицированных рисков
• Какими способами можно повлиять на потери от их реализации в сторону уменьшения
• Определение ресурсов, выделяемого на покрытие последствий от реализовавшихся рисков
• Какие источники покрытия ущерба

Реагирование на риск зависит от уровня определенного риска на основе его вероятности и последствий, а также других параметров, например, как время действия или возможность управления.

• От рисков с высоким уровнем, как правило, уклоняются (если это возможно).
• Риск средней тяжести можно передать на аутсорсинг или застраховать, учитывая экономическую целесообразность передачи риски.
• Если по результатам проведенной оценки рисков уровень риска определен как с минимальными последствиями и вероятностью наступления, следовательно не угрожает компании, то данные риски принимаются, но в отношении них выбор организационных мер основывается на принятии и определению инструкций по реагированию на них.

Мониторинг и контроль СУР

На данной стадии в отношении рисков и предыдущих этапов СУР осуществляется контроль и соотношение параметров рисков фактических значений с плановыми или допустимыми.

Для каждого процесса или проекта определяются ключевые индикаторы риска (КИР), значения которых должны соответствовать нормативным, определенным в организации.

В случае несоответствия определенным значениям СУР должно реагировать в соответствии с заранее разработанным набором управленческих решений и ресурсов.

Также осуществляется контроль и мониторинг за самой СУР, насколько верно проведена идентификация и оценка рисков, верно ли было определены управленческие решения и как они реализовывались, и проводится оценка эффективности.

Постоянное совершенствование системы управления рисками

В связи с тем, что постоянно видоизменяются и появляются новые риски и их факторы, существующую СУР необходимо совершенствовать и сопоставлять с обстановкой в целях эффективности и бесперебойности бизнес-процессов и снижения угрозы существования самого бизнеса.

На данном этапе анализируется как внутренняя информация, собранная по всем предыдущим этапам, так и внешние источники (например, макроэкономические показатели, отраслевые индикаторы и т.п.).

По результатам анализа формируются решения по модернизации и адаптации стратегии управления рисками, определение новых процедур или модернизация существующих, а также разработка рекомендаций по снижению рисков.

Что входит в услугу формированию системы управления рисками

1. Аудит существующей системы управления рисками организации (при её наличии) и соответствие с системой управления и стратегией
2. Проведение идентификации и анализа существующих и потенциальных рисков и их оценка в виде отчета по оценке рисков
3. Разработка методологии и подходов к управлению рисками организации
4. Внедрение методов управления рисками в деятельность организации в соответствии со стандартами и лучшими практиками

Почему RTM Group?

• Мы работаем с рисками более 7 лет, понимаем актуальность рисков на основании проведенных аудитов и проектировании систем управления рисками;
• Опыт работы с организациями различных масштабов и направлений деятельности;
• Гибкое ценообразование при заключении договора на периодическое проведение работ.

Мы обладаем лицензиями:

• Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
• Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
• Лицензия ФСБ России на работу со средствами криптозащиты